从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Splunk Disable KVStore via CSRF Enabling Maintenance Mode - 漏洞类型:TTP (Tool, Technique, Procedure) - 漏洞描述:在Splunk Enterprise版本9.3.1、9.2.3、9.1.6和Splunk Cloud Platform版本9.2.2403.108、9.1.2312.204、9.1.2308.211中,低权限用户可以通过Cross-Site Request Forgery (CSRF)更改App Key Value Store (KVStore)的维护模式状态。 2. 搜索查询: - 使用MySQL查询语句来检测维护模式的更改。 3. 数据源: - 数据源为Splunk,数据类型为'splunkd_ui_access',日志文件为'splunkd_ui_access.log'。 4. 宏使用: - 使用了两个宏:security_content_cftime和splunk_disable_kvstore_via_csrf_enabling_maintenance_mode_filter。 5. 默认配置: - 配置了规则的禁用状态、cron调度、最早和最晚时间、是否创建显著事件、规则标题、规则描述、显著事件字段、是否创建风险事件等。 6. 已知误报: - 搜索可能会产生误报,需要验证访问的上下文和对KVStore进行维护模式更改的GET请求的使用,特别是非管理员用户。 7. 关联的分析故事: - Splunk Vulnerabilities 8. 风险基线分析(RBA): - 漏洞描述:潜在的CSRF攻击,通过将KVStore置于维护模式。 - 风险评分:25 - 影响:50 - 自信度:50 9. 参考链接: - https://advisory.splunk.com/advisories/SVD-2024-1007 10. 检测测试: - 验证、单元测试和集成测试均通过。 11. 来源: - 来源为GitHub,版本为1。 这些信息提供了关于漏洞的详细描述、检测方法、配置设置和风险评估等关键信息。