关键信息 漏洞概要 Advisory ID: SVD-2024-0703 CVE ID: CVE-2024-36983 CVSSv3.1 Score: 8.0, High CVE: CWE-77 描述 在 Splunk Enterprise 版本低于 9.2.2, 9.1.5 和 9.0.10 以及 Splunk Cloud Platform 版本低于 9.1.2312.109 和 9.1.2308.207 中,认证用户可以创建一个调用旧版内部功能的外部查找。该用户可以利用此功能将代码插入到 Splunk 平台安装目录中。然后,用户可以在 Splunk 平台实例上执行任意代码。 该漏洞主要与当前被弃用的 "runshellsript" 命令相关,该命令被脚本化告警操作使用。此命令与外部命令查找配合使用,使认证用户能够在特权上下文中注入并执行命令。 解决方案 升级到 Splunk Enterprise 版本 9.2.2, 9.1.5 和 9.0.10 或更高版本。 对于 Splunk Cloud 实例,Splunk 正在进行升级并监控潜在问题。 影响的产品和版本 缓解措施与权宜之计 无 检测 Splunk Command and Scripting Interpreter Risky Commands 严重性 Splunk 评估此漏洞为 8.0 级,较高风险等级,关联 CVSSv3.1 向量:CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H。 致谢 感谢 Danylo Dmytriiev (DDV_UA) 的贡献