Splunk Enterprise 2月多个安全漏洞安全风险通告
奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
安全通告
近日,奇安信CERT监测到Splunk官方发布季度安全补丁更新,修复了Splunk Enterprise中的多个安全漏洞。其中有5个高危漏洞,包括:3个安全特性绕过漏洞(CVE-2023-22939、CVE-2023-22934、CVE-2023-22935)和2个存储型跨站脚本漏洞(CVE-2023-22932、CVE-2023-22933)。攻击者可利用这些漏洞绕过Splunk SPL安全限制或进行跨站脚本攻击,进而可导致信息泄露或数据损坏。鉴于这些漏洞影响较大,建议客户尽快做好自查及防护。
威胁评估
漏洞通告 | Splunk Enterprise 2月多个安全漏洞 | ||
公开时间 | 2023-02-14 | 更新时间 | 2023-02-16 |
厂商 | Splunk | 产品 | Splunk Enterprise |
关键词 | 安全特性绕过、跨站脚本漏洞 | ||
风险等级 | |||
奇安信CERT风险评级 | 风险等级 | ||
高危 | 蓝色(一般事件) | ||
现时威胁状态 | |||
POC状态 | EXP状态 | 在野利用状态 | 技术细节状态 |
未发现 | 未发现 | 未发现 | 未公开 |
漏洞信息
Splunk Enterprise是一款专业的数据分析软件,能够对采样的数据以及统计图做出专业分析,支持跨平台使用,常用于金融、IT、财务等多个领域。
近日,奇安信CERT监测到Splunk官方发布季度安全补丁更新,修复了Splunk Enterprise中的多个安全漏洞。其中包含以下5个高危漏洞:
CVE-2023-22939 Splunk Enterprise安全特性绕过漏洞
CVE-2023-22934 Splunk Enterprise安全特性绕过漏洞
CVE-2023-22935 Splunk Enterprise安全特性绕过漏洞
CVE-2023-22933 Splunk Enterprise存储型跨站脚本漏洞
CVE-2023-22932 Splunk Enterprise存储型跨站脚本漏洞
攻击者可利用这些漏洞绕过Splunk SPL安全限制或进行跨站脚本攻击,进而导致信息泄露或数据损坏。这些漏洞仅影响启用了 Splunk Web 的实例。
漏洞名称 | Splunk Enterprise安全特性绕过漏洞 | ||
CVE编号 | CVE-2023-22939 | 其他编号 | QVD-2023-4400 |
威胁类型 | 安全特性绕过 | 技术类型 | 数据验证不恰当 |
CVSS 3.X | 8.1 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N) | ||
漏洞描述 | Splunk Enterprise 存在安全特性绕过漏洞,允许使用 "map" 搜索处理语言 (SPL) 命令绕过 SPL 对有风险命令的保护措施。该漏洞需要更高权限的用户在其浏览器中发起请求,并且仅影响启用了 Splunk Web 的实例。 | ||
影响版本 | Splunk Enterprise <= 8.1.12 |
漏洞名称 | Splunk Enterprise 安全特性绕过漏洞 | ||
CVE编号 | CVE-2023-22934 | 其他编号 | QVD-2023-4395 |
威胁类型 | 安全特性绕过 | 技术类型 | 数据验证不恰当 |
CVSS 3.X | 7.3 (AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N) | ||
漏洞描述 | Splunk Enterprise 存在安全特性绕过漏洞,允许使用“pivot” 搜索处理语言 (SPL) 命令绕过SPL 保护措施,使用已保存的搜索作业来执行有风险的命令。该漏洞需要经过身份验证的用户制作保存的作业,并需要更高权限的用户在其浏览器中发起请求。该漏洞仅影响启用了 Splunk Web 的实例。 | ||
影响版本 | Splunk Enterprise <= 8.1.12 |
漏洞名称 | Splunk Enterprise 安全特性绕过漏洞 | ||
CVE编号 | CVE-2023-22935 | 其他编号 | QVD-2023-4396 |
威胁类型 | 安全特性绕过 | 技术类型 | 数据验证不恰当 |
CVSS 3.X | 8.1 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N) | ||
漏洞描述 | Splunk Enterprise 存在安全特性绕过漏洞,允许通过“display.page.search.patterns.sensitivity”搜索参数绕过 SPL 风险命令安全限制。该漏洞需要更高权限的用户在其浏览器中发起请求,并且仅影响启用了 Splunk Web 的实例。 | ||
影响版本 | Splunk Enterprise <= 8.1.12 |
漏洞名称 | Splunk Enterprise 存储型跨站脚本漏洞 | ||
CVE编号 | CVE-2023-22933 | 其他编号 | QVD-2023-4394 |
威胁类型 | 信息泄露 代码执行 | 技术类型 | 跨站脚本攻击 |
CVSS 3.X | 8.0 (AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H) | ||
漏洞描述 | Splunk Enterprise 存在跨站脚本漏洞,允许通过“module”标签中的“layoutPanel”属性以可扩展标记语言 (XML) 视图进行跨站点脚本 (XSS)攻击。此漏洞仅影响启用了 Splunk Web 的实例。 | ||
影响版本 | Splunk Enterprise <= 8.1.12 |
漏洞名称 | Splunk Enterprise 存储型跨站脚本漏洞 | ||
CVE编号 | CVE-2023-22932 | 其他编号 | QVD-2023-4393 |
威胁类型 | 信息泄露 代码执行 | 技术类型 | 跨站脚本攻击 |
CVSS 3.X | 8.7 (AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N) | ||
漏洞描述 | 此漏洞允许通过 Base64 编码图像中的错误消息进行跨站点脚本(XSS)攻击。此漏洞不影响低于 9.0 的 Splunk Enterprise 版本,且仅影响启用了 Splunk Web 的实例。 | ||
影响版本 | Splunk Enterprise 9.0.x <= 9.0.3 |
处置建议
建议尽快升级至安全版本(Splunk Enterprise 8.1.13、8.2.10、9.0.4及更高版本):
https://www.splunk.com/en_us/products/splunk-enterprise.html
若用户不需要在分布式环境中的索引器上登录Splunk Web,可参考以下链接在这些索引器上禁用Splunk Web来缓解这些漏洞:
https://docs.splunk.com/Documentation/Splunk/latest/Security/DisableunnecessarySplunkcomponents
https://docs.splunk.com/Documentation/Splunk/latest/Admin/Webconf
参考资料
[1]https://advisory.splunk.com/advisories
时间线
2023年2月16日,奇安信 CERT发布安全风险通告。
到奇安信NOX-安全监测平台查询更多漏洞详情