从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Splunk Persistent XSS via Scheduled Views - 受影响版本:Splunk Enterprise versions below 9.2.3 and 9.1.6 and Splunk Cloud Platform versions below 9.1.2308.211 - 漏洞描述:低权限用户(不持有“admin”或“power”角色)可以通过Scheduled Views构造恶意payload,导致在用户浏览器中执行未经授权的JavaScript代码。 2. 搜索: - SPL(Search Processing Language)代码: 3. 数据源: - 数据源名称:Splunk - 数据源类型: - 数据源路径: - 支持的应用:N/A 4. 宏使用: - 宏名称: 、 - 宏值: - : - : 5. 注释: - MITRE ATT&CK:T1189 - 技术:Drive-by Compromise - 战术:Initial Access - 威胁行为者:APT19、APT28、APT32、APT37、APT38、ANDARIEL、AXIOM、BRONZE BUTLER、DARK CARACAL、DARKHOTEL、DRAGONFLY、EARTH LUSCA、ELDERWOOD、LAZARUS GROUP、LEAFMINER、LEVIATHAN、MACHETE、MAGIC HOUND、MUSTARD TEMPEST、PLATINUM、PROMETHEUM、PATCHWORK、RTM、THREAT GROUP-3390、TRANSPARENT TRIBE、TURLA、WINDIGO、WINDSHIFT 6. 默认配置: - 禁用状态:true - cron调度: - 最早时间: - 最晚时间: - 调度窗口:auto - 创建风险事件:false 7. 实现: - API要求:REST API 8. 已知误报: - 这是一个狩猎搜索,无法检测到来自调度视图的XSS payload,但可以查看发送了调度搜索的人,以触发潜在的XSS。 9. 关联的分析故事: - Splunk Vulnerabilities 10. 风险基于分析(RBA): - 风险消息:可能的XSS攻击,需要进一步调查 - 风险分数:10 - 影响:20 - 信心:50 11. 参考: - https://advisory.splunk.com/advisories/SVD-2024-1010 12. 检测测试: - 测试类型:验证、单元、集成 - 状态:通过 - 数据集:N/A - 数据源:N/A - 数据源类型:N/A 13. 来源: - GitHub 这些信息提供了关于Splunk Persistent XSS via Scheduled Views漏洞的详细描述、检测方法、数据源、宏使用、注释、默认配置、实现、已知误报、关联的分析故事、风险基于分析、参考以及检测测试的结果。