CVE-2024-36991 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞 (Path Traversal) 📉 **后果**：攻击者可读取 Web 根目录外的敏感文件（如系统配置文件），导致**信息泄露**。

🔍 **CWE**：CWE-35 (路径遍历) 🐛 **缺陷点**：Splunk Enterprise 在 Windows 平台上，处理 `/Modules/Messaging/` 端点时，Python `os.path.join` 函数存在逻辑缺陷，未能正确过滤路径令牌。

🎯 **受影响产品**：Splunk Enterprise (Windows 版本) 📅 **高危版本**： - < 9.2.2 - < 9.1.5 - < 9.0.10

💀 **黑客能力**： - **读取敏感文件**：如 `/etc/passwd` 或 Windows 系统文件。 - **权限**：无需认证 (PR:N)。 - **范围**：仅限 Windows 环境下的 Splunk Enterprise。

🚪 **利用门槛**：🟢 **极低** - **网络访问**：远程 (AV:N) - **攻击复杂度**：低 (AC:L) - **身份认证**：不需要 (PR:N) - **用户交互**：不需要 (UI:N)

🧨 **POC 现状**：✅ **已有公开 Exploit** - GitHub 上存在多个 POC 脚本（如 bigb0x, Mr-xn, th3gokul 等仓库）。 - 支持单目标扫描和批量扫描。 - 可直接读取 `/etc/passwd` 等文件验证漏洞。

🔎 **自查方法**： 1. **Nuclei 模板**：使用 Sardine Web 提供的 Nuclei Template 进行扫描。 2. **手动测试**：访问 `/en-US/modules/messaging/C:../C:../...` 路径，观察是否返回敏感文件内容。 3. **批量工具**：使用 CVEHunter 等异步扫描工具检测。

🛡️ **官方修复**：✅ **已发布补丁** - Splunk 官方已发布安全公告 (SVD-2024-0711)。 - 建议升级至 **9.2.2**、**9.1.5** 或 **9.0.10** 及以上版本。

⚠️ **临时规避**： - **网络隔离**：限制 Splunk Web 接口对公网的访问。 - **WAF 规则**：拦截包含 `../` 或异常路径遍历特征的请求。 - **权限最小化**：确保 Splunk 服务账户权限最低，减少文件读取危害。

🔥 **优先级**：🔴 **紧急** - **CVSS 评分**：高 (C:H, 机密性影响严重)。 - **利用难度**：无需认证，远程直接利用。 - **建议**：立即检查版本，若为受影响版本，**优先打补丁**！