漏洞概述 Splunk Enterprise 版本低于 10.2.4、10.0.7、9.4.12 和 9.3.13,以及 Splunk Cloud Platform 版本低于 10.3.2512.13、10.2.2510.15、10.1.2507.23 和 9.3.2411.132 中,一个低权限用户(不持有 'admin' 或 'power' Splunk 角色)可以创建一个恶意的经典仪表板,当高权限用户查看时,该仪表板会通过 CSS 注入绕过外部内容限制,将敏感数据外泄到外部服务器。 影响范围 Splunk Enterprise 版本低于 10.2.4、10.0.7、9.4.12 和 9.3.13 Splunk Cloud Platform 版本低于 10.3.2512.13、10.2.2510.15、10.1.2507.23 和 9.3.2411.132 修复方案 升级到 Splunk Enterprise 版本 10.4.0、10.2.4、10.0.7、9.4.12 和 9.3.13 或更高版本。 Splunk 正在积极监控和修补 Splunk Cloud Platform 实例。 缓解措施和工作区 配置仪表板的受信任域名列表以限制仪表板可以加载内容的外部域名。参见 Splunk 文档中的 Classic Dashboards Trusted Domains List。 审查并限制有权创建和编辑经典仪表板的角色。参见 Splunk 文档中的 About role-based user access。 检测 无 严重性 Splunk 将此漏洞评级为 5.7,中等严重性,CVSSv3.1 向量为 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N。 致谢 Fredrik Alexandersson (stok)