漏洞名称:Splunk Enterprise for Windows /en-US/modules/messaging 文件读取漏洞(CVE-2024-36991)
English Name:Splunk Enterprise for Windows /en-US/modules/messaging File Reading Vulnerability(CVE-2024-36991)
CVSS core: 7.5
漏洞描述:
Splunk Enterprise 是一款数据分析和搜索工具,用于实时收集、监控和分析机器生成的大数据,例如日志文件、点击流和传感器数据。它使用户能够跨多个来源和格式关联和分析数据,提供对运营效率、安全性和客户行为的洞察力。
Splunk Enterprise 在 Windows 版本中,使用了 Python 的 os.path.join 函数来构建路径,这个函数在处理路径时,如果路径中的驱动器字母与构建路径中的驱动器字母匹配,它会移除路径标记中的驱动器字母,从而允许攻击者通过构造特定的请求来访问或修改系统上的文件。
FOFA查询规则: app=" splunk-Enterprise"
受影响资产数量: 218,592
受影响版本:
Windows版本:
9.2.0 至 9.2.1(不包括 9.2.2)
9.1.0 至 9.1.4(不包括 9.1.5)
9.0.0 至 9.0.9(不包括 9.0.10)
解决方案:
1.官方已经发布了针对 CVE-2024-36991 漏洞的补丁,可前往官网下载对应版本补丁;
2.升级 Splunk Enterprise 到 9.2.2、9.1.5 或 9.0.10 版本,或者更高版本;
3.临时解决方案:关闭 Splunk Web 组件。
漏洞检测验证工具:
【Goby】-资产绘测及实战化漏洞扫描工具,实战漏洞利用效果如图所示:
