一、漏洞概述
12月22日,绿盟科技CERT监测到网上公开披露了Splunk Enterprise远程代码执行漏洞(CVE-2022-43571)的PoC。由于Splunk Enterprise中SimpleXML仪表板存在代码注入,拥有低权限的远程攻击者可以通过构造特制的数据包,进行PDF导出操作,最终实现任意代码执行。CVSS评分为8.8,请受影响的用户尽快采取措施进行防护。
Splunk是一款完全集成的软件,用于实时企业日志管理,可收集,存储,搜索,诊断和报告任何日志和机器生成的数据,包括结构化,非结构化和复杂的多行应用程序日志。Splunk Enterprise是机器数据的引擎。
参考链接:
https://www.splunk.com/en_us/product-security/announcements/svd-2022-1111.html
- 影响范围
受影响版本
- Splunk Enterprise <= v8.1.11
- 2.0 <= Splunk Enterprise <= v8.2.8
- 0.0 <=Splunk Enterprise <= v9.0.1
- Splunk Cloud Platform <= v9.0.2208
不受影响版本
- Splunk Enterprise >= 8.1.12
- Splunk Enterprise >= 8.2.9
- Splunk Enterprise >= 9.0.2
- Splunk Cloud Platform >= 9.0.2209
二、漏洞防护
- 官方升级
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本:
https://www.splunk.com/en_us/product-security/announcements/svd-2022-1111.html
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。