从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Splunk Low-Priv Search as nobody - 漏洞类型:Hunting - 漏洞描述:在Splunk Enterprise版本9.3.1和9.2.0版本以下,以及Splunk Cloud Platform版本9.2.2403.103、9.1.2312.200、9.1.2312.110和9.1.2308.208中,低权限用户(不持有“admin”或“power”Splunk角色)可以使用“nobody”搜索访问受限数据。 2. 搜索: - 使用的SPL(Search Processing Language)代码: 3. 数据源: - 数据源名称:Splunk - 平台:Splunk - 源类型:'splunkd_ui_access' - 源:'splunkd_ui_access.log' - 支持的应用:N/A 4. 宏使用: - 使用的宏: 5. 注释: - 该宏是空宏,用于过滤结果(假阳性)。 6. 默认配置: - 配置文件适用于所有类型为Hunting的检测。 7. 实现: - 需要访问REST API。 8. 已知的误报: - 这个搜索显示了SplunkDeploymentServerConfig的有效权限。如果权限不足,必须进行修复。请参阅SVD-2024-1002以获取更多关于这些权限的信息。 9. 关联的分析故事: - Splunk Vulnerabilities 10. 风险基于分析(RBA): - 风险消息:请验证并调整$splunk_server$上的$label$权限,根据SVD-2024-1002 Advisory。 - 风险分数:90 - 影响:90 - 自信度:100 11. 参考: - https://advisory.splunk.com/advisories/SVD-2024-1002 12. 检测测试: - 验证:通过 - 单元测试:通过 - 集成测试:通过 13. 来源: - GitHub - 版本:1 这些信息可以帮助理解漏洞的背景、影响以及如何进行测试和修复。