一、漏洞详情
Splunk Enterprise是一款数据分析平台,专注于机器数据的收集、监控和分析,广泛应用于日志管理、安全信息事件管理(SIEM)和IT运维。
近日,监测到Splunk发布的安全公告,公告指出Splunk Enterprise和Splunk Cloud Platform存在一个高危漏洞。在特定版本中,低权限用户(未持有admin或power角色)由于缺乏必要的授权检查,可能通过将文件上传至“$SPLUNK_HOME/var/run/splunk/apptemp”目录,从而执行远程代码(RCE)。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
9.3.2408.100 <= Splunk Cloud Platform <= 9.3.2408.103
9.2.2406.100 <= Splunk Cloud Platform <= 9.2.2406.107
Splunk Cloud Platform < 9.2.2403.113
Splunk Cloud Platform < 9.1.2312.207
9.3.0 <= Splunk Enterprise <= 9.3.2
9.2.0 <= Splunk Enterprise 9.2.4
9.1.0 <= Splunk Enterprise 9.1.7
三、修复建议
官方已发布修复版本,建议受影响用户尽快更新。
Splunk Enterprise 9.4升级到9.4.0
Splunk Enterprise 9.3受影响版本升级到9.3.3
Splunk Enterprise 9.2受影响版本升级到9.2.5
Splunk Enterprise 9.1受影响版本升级到9.1.8
Splunk Cloud Platform 9.3.2408受影响版本升级到9.3.2408.104
Splunk Cloud Platform 9.2.2406受影响版本升级到9.2.2406.108
Splunk Cloud Platform 9.2.2403受影响版本升级到9.2.2403.114
Splunk Cloud Platform 9.1.2312受影响版本升级到9.1.2312.208