CVE-2023-46214 Remote code execution (RCE) in Splunk Enterprise through Insecure XML Parsing
Severity: High
Score: 8.0
CVSSv3.1 Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H
Mô tả:
Trong Splunk Enterprise phiên bản dưới 9.0.7 và 9.1.2, Splunk Enterprise không an toàn khi vô hiệu hóa các biến đổi ngôn ngữ bố cục kiểu mẫu mở rộng (XSLT) do người dùng cung cấp. Điều này có nghĩa là một kẻ tấn công có thể tải lên XSLT độc hại, dẫn đến việc thực thi mã từ xa trên phiên bản Splunk Enterprise.
Product | Version | Component | Affected Version | Fix Version |
Splunk Enterprise | 9.0 | Splunk Web | 9.0.0 to 9.0.6 | 9.0.7 |
Splunk Enterprise | 9.1 | Splunk Web | 9.1.0 to 9.1.1 | 9.1.2 |
Splunk Cloud | - | Splunk Web | Versions below 9.1.2308 | 9.1.2308 |
Cách khắc phục:
Nâng cấp Splunk Enterprise lên 9.0.7 hoặc 9.1.2.
Nếu không thể nâng cấp, hạn chế khả năng của các yêu cầu nhiệm vụ tìm kiếm để chấp nhận ngôn ngữ bố cục kiểu mẫu XML (XSL) làm đầu vào hợp lệ.
Chỉnh sửa tệp cấu hình web.conf và thêm cấu hình sau trên các phiên bản mà bạn muốn hạn chế khả năng của yêu cầu nhiệm vụ tìm kiếm để chấp nhận XSL:
| enableSearchJobXslt = false |
Tham khảo:
https://research.splunk.com/application/a053e6a6-2146-483a-9798-2d43652f3299/
https://research.splunk.com/application/6cb7e011-55fb-48e3-a98d-164fa854e37e/
https://nvd.nist.gov/vuln/detail/CVE-2023-46214
https://research.splunk.com/application/6cb7e011-55fb-48e3-a98d-164fa854e37e/