Splunk Güvenlik Açıkları CVE-2024-36997, CVE-2024-36996, CVE-2024-36995, CVE-2024-36994, CVE-2024-36993, CVE-2024-36992, CVE-2024-36991, CVE-2024-36990, CVE-2024-36989, CVE-2024-36987, CVE-2024-36986, CVE-2024-36985, CVE-2024-36984, CVE-2024-36983, CVE-2024-36982
01 Temmuz 2024
Veri analizi ve güvenliği için kurumsal yazılımların önde gelen sağlayıcısı olan Splunk, yakın zamanda kuruluşları önemli risklere maruz bırakabilecek bir dizi kritik güvenlik açığını açıkladı. Splunk Enterprise ve Splunk Cloud Platform'u etkileyen bu güvenlik açıkları, kalıcı çapraz site betikleme (XSS) istismarlarından hizmet reddi ve uzaktan kod yürütme kusurlarına kadar uzanıyor.
CVE-2024-36997
9.2.2, 9.1.5 ve 9.0.10'dan düşük Splunk Enterprise sürümlerinde ve 9.1.2312'den düşük Splunk Cloud Platform sürümlerinde, bir yönetici kullanıcı, conf-web/settings REST uç noktası aracılığıyla başka bir Splunk kullanıcısının tarayıcı bağlamında keyfi JavaScript kodunu depolayabilir ve yürütebilir. Bu, potansiyel olarak kalıcı bir çapraz site betik çalıştırma (XSS) istismarına neden olabilir.
CVE-2024-36996
9.2.2, 9.1.5 ve 9.0.10'dan düşük Splunk Enterprise sürümlerinde ve 9.1.2312.109'dan düşük Splunk Cloud Platform sürümlerinde, bir saldırgan oturum açmaya çalıştıklarında örnekten muhtemelen alacakları hata yanıtını çözerek örnekte başka bir kullanıcının olup olmadığını belirleyebilir. Bu ifşa daha sonra ek kaba kuvvet parola tahmin saldırılarına yol açabilir. Bu güvenlik açığı, Splunk platform örneğinin Güvenlik İddiası İşaretleme Dili (SAML) kimlik doğrulama şemasını kullanmasını gerektirir.
CVE-2024-36995
9.2.2, 9.1.5 ve 9.0.10'dan önceki Splunk Enterprise sürümlerinde ve 9.1.2312.200 ve 9.1.2308.207'den önceki Splunk Cloud Platform sürümlerinde, yönetici veya güç Splunk rollerine sahip olmayan düşük ayrıcalıklı bir kullanıcı deneysel öğeler oluşturabilir.
CVE-2024-36994
9.2.2, 9.1.5 ve 9.0.10'dan önceki Splunk Enterprise sürümlerinde ve 9.1.2312.200 ve 9.1.2308.207'den önceki Splunk Cloud Platform sürümlerinde, yönetici veya güç Splunk rollerini elinde tutmayan düşük ayrıcalıklı bir kullanıcı, bir Görünüm ve Splunk Web Bülteni Mesajları aracılığıyla kötü amaçlı bir yük oluşturabilir ve bu da bir kullanıcının tarayıcısında yetkisiz JavaScript kodunun yürütülmesine neden olabilir.
CVE-2024-36993
9.2.2, 9.1.5 ve 9.0.10'dan önceki Splunk Enterprise sürümlerinde ve 9.1.2312.200 ve 9.1.2308.207'den önceki Splunk Cloud Platform sürümlerinde, yönetici veya güç Splunk rollerini elinde tutmayan düşük ayrıcalıklı bir kullanıcı, bir Splunk Web Bülteni Mesajları aracılığıyla, bir kullanıcının tarayıcısında yetkisiz JavaScript kodunun yürütülmesine yol açabilecek kötü amaçlı bir yük oluşturabilir.
CVE-2024-36992
9.2.2, 9.1.5 ve 9.0.10'dan düşük Splunk Enterprise sürümlerinde ve 9.1.2312.200 ve 9.1.2308.207'den düşük Splunk Cloud Platform sürümlerinde, yönetici veya güç Splunk rollerini elinde tutmayan düşük ayrıcalıklı bir kullanıcı, bir kullanıcının tarayıcısında yetkisiz JavaScript kodunun yürütülmesine yol açabilecek bir Görünüm aracılığıyla kötü amaçlı bir yük oluşturabilir. Dashboard öğesinin "url" parametresi, geçersiz URL'leri reddetmek için uygun giriş doğrulamasına sahip değildir ve bu da Kalıcı Siteler Arası Komut Dosyası (XSS) istismarına yol açabilir.
CVE-2024-36991
Windows'ta 9.2.2, 9.1.5 ve 9.0.10'dan düşük sürümlerde Splunk Enterprise'da, bir saldırgan Windows'ta Splunk Enterprise'daki /modules/messaging/ uç noktasında bir yol geçişi gerçekleştirebilir. Bu güvenlik açığı yalnızca Windows'ta Splunk Enterprise'ı etkilemelidir.
CVE-2024-36990
9.2.2, 9.1.5 ve 9.0.10'dan önceki Splunk Enterprise sürümlerinde ve 9.2.2403.100'den önceki Splunk Cloud Platform sürümlerinde, yönetici veya güç Splunk rollerini elinde tutmayan kimliği doğrulanmış, düşük ayrıcalıklı bir kullanıcı, Splunk Enterprise'daki veri modeli/web REST uç noktasına özel olarak hazırlanmış bir HTTP POST isteği gönderebilir ve bu da hizmet reddi durumuna neden olabilir.
CVE-2024-36989
9.2.2, 9.1.5 ve 9.0.10'dan önceki Splunk Enterprise sürümlerinde ve 9.1.2312.200'den önceki Splunk Cloud Platform sürümlerinde, yönetici veya güç Splunk rollerini elinde tutmayan düşük ayrıcalıklı bir kullanıcı, örnekteki tüm kullanıcıların aldığı Splunk Web Bülteni Mesajları'nda bildirimler oluşturabilir.
CVE-2024-36987
9.2.2, 9.1.5 ve 9.0.10'dan önceki Splunk Enterprise sürümlerinde ve 9.1.2312.200'den önceki Splunk Cloud Platform sürümlerinde, yönetici veya güç Splunk rollerine sahip olmayan kimliği doğrulanmış, düşük ayrıcalıklı bir kullanıcı, dizinleme/önizleme REST uç noktasını kullanarak keyfi bir uzantıya sahip bir dosyayı yükleyebilir.
CVE-2024-36986
9.2.2, 9.1.5 ve 9.0.10'dan düşük Splunk Enterprise sürümlerinde ve 9.1.2312.200 ve 9.1.2308.207'den düşük Splunk Cloud Platform sürümlerinde, kimliği doğrulanmış bir kullanıcı, Analitik Çalışma Alanı'ndaki riskli komutlar için SPL güvenlik önlemlerini atlatmak amacıyla daha yüksek ayrıcalıklı bir kullanıcının izinlerini kullanarak riskli komutlar çalıştırabilir. Güvenlik açığı, kimliği doğrulanmış kullanıcının, tarayıcısı içinde bir istek başlatması için kurbanı kandırarak kimlik avı yapmasını gerektirir. Kimliği doğrulanmış kullanıcı, güvenlik açığını istediği gibi istismar edememelidir.
CVE-2024-36985
Splunk Enterprise'ın 9.2.2, 9.1.5 ve 9.0.10'dan önceki sürümlerinde, yönetici veya güç Splunk rollerini elinde tutmayan düşük ayrıcalıklı bir kullanıcı, "splunk_archiver" uygulamasına başvuran harici bir arama yoluyla Uzaktan Kod Yürütmeye neden olabilir.
CVE-2024-36984
Windows'ta 9.2.2, 9.1.5 ve 9.0.10'dan düşük Splunk Enterprise sürümlerinde, kimliği doğrulanmış bir kullanıcı, güvenilmeyen verileri serileştirmek için kullanabilecekleri özel olarak hazırlanmış bir sorguyu yürütebilir. Saldırgan, sorguyu keyfi kod yürütmek için kullanabilir.
CVE-2024-36983
9.2.2, 9.1.5 ve 9.0.10'dan düşük Splunk Enterprise sürümlerinde ve 9.1.2312.109 ve 9.1.2308.207'den düşük Splunk Cloud Platform sürümlerinde, kimliği doğrulanmış bir kullanıcı eski bir dahili işlevi çağıran harici bir arama oluşturabilir. Kimliği doğrulanmış kullanıcı bu dahili işlevi kullanarak Splunk platform kurulum dizinine kod ekleyebilir. Buradan kullanıcı Splunk platform Örneğinde keyfi kod çalıştırabilir.
CVE-2024-36982
Splunk Enterprise'ın 9.2.2, 9.1.5 ve 9.0.10'dan önceki sürümlerinde ve Splunk Cloud Platform'un 9.1.2312.109 ve 9.1.2308.207'den önceki sürümlerinde, bir saldırgan küme/yapılandırma REST uç noktasında boş bir işaretçi referansını tetikleyebilir ve bu da Splunk daemon'unun çökmesine neden olabilir.