从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Splunk Image File Disclosure via PDF Export in Classic Dashboard - 漏洞类型:Hunting - 漏洞描述:在Splunk Enterprise版本9.3.0、9.2.3和9.1.6中,一个没有“admin”或“power”角色的低权限用户可以使用PDF导出功能在经典仪表板上查看主机上的图像。 2. 搜索查询: - 使用MySQL查询来搜索生成的PDF文件,并提取可能的仪表板文件名。 - 使用正则表达式匹配特定的文件名模式。 - 使用REST API查询所有仪表板,并筛选出版本为1.1且包含至少一个标签的仪表板。 - 使用统计函数计算最早和最晚时间,并筛选出特定的过滤器。 3. 数据源: - 数据源名称:Splunk - 平台:Splunk - 源类型:splunkd_ui_access - 源:splunkd_ui_access.log - 支持的应用:N/A 4. 宏使用: - 宏名称:security_content_ctime - 宏值:convert timeformat="%Y-%m-%dT%H:%M:%S" ctime($field$) - 宏名称:splunk_image_file_disclosure_via_pdf_export_in_classic_dashboard_filter - 宏值:search 5. 注释: - 该宏是空宏,用于过滤出任何结果(假阳性)而不需编辑SPL。 6. 默认配置: - 检测默认在Splunk Enterprise Security中运行,配置如下: - 禁用:true - Cron调度:0 - 最早时间:-70m@m - 最晚时间:-10m@m - 时间窗口:auto - 是否创建风险事件:False 7. 实现: - 需要访问REST API。 8. 已知的误报: - 这是一个狩猎搜索,操作员必须识别本地主机图像源的指示符,如UNC路径('C:; //'),以识别潜在的利用。 9. 关联的分析故事: - Splunk Vulnerabilities 10. 风险基于分析(RBA): - 风险消息:潜在的系统源图像在仪表板中泄露。 - 风险分数:8 - 影响:10 - 自信度:80 11. 参考: - https://advisory.splunk.com/advisories/SVD-2024-1004 12. 检测测试: - 验证:通过 - 单元测试:通过 - 集成测试:通过 13. 源**: - 源:GitHub - 版本:1 这些信息提供了关于漏洞的详细描述、检测方法、数据源、宏使用、默认配置、实现、已知误报、关联分析故事、风险基于分析、参考和检测测试的结果。