Splunk Enterprise Windows路径遍历漏洞（CVE-2024-36991）

Splunk Enterprise是一款专业的数据分析软件，能够对采样的数据以及统计图做出专业分析，支持跨平台使用，常用于金融、IT、财务等多个领域。

2024年7月2日，启明星辰集团VSRC监测到Splunk Enterprise中修复了一个路径遍历漏洞（CVE-2024-36991），该漏洞的CVSS评分为7.5。

Windows 上Splunk Enterprise 9.2.2、9.1.5 和 9.0.10之前版本中存在路径遍历漏洞，由于Python os.path.join函数在处理Windows路径时存在安全问题，未经身份验证的远程威胁者可对Splunk Enterprise（Windows上运行且已启用Splunk Web）中的/modules/messaging/端点执行路径遍历攻击，成功利用可能导致信息泄露。

此外，Splunk还修复了以下多个高危漏洞：

CVE-2024-36985：由于Splunk Enterprise中splunk_archiver应用程序中的copybuckets.py脚本，低权限威胁者可通过外部查找导致远程代码执行。

CVE-2024-36984：经过身份验证的威胁者可通过Windows上的 Splunk Enterprise 中的序列化会话Payload导致任意代码执行。

CVE-2024-36983：经过身份验证的威胁者可使用外部查找进行命令注入。

CVE-2024-36982：未经身份验证的远程威胁者可通过cluster/config REST 端点上触发空指针引用，导致 Splunk守护进程崩溃，造成拒绝服务。

影响范围
Splunk Enterprise 9.2版本：9.2.0 – 9.2.1

Splunk Enterprise 9.1版本：9.1.0 – 9.1.4

Splunk Enterprise 9.0版本：9.0.0 – 9.0.9

Splunk Cloud Platform 9.1.2312版本：9.1.2312.100 – 9.1.2312.108

Splunk Cloud Platform 9.1.2308版本< 9.1.2308.207

安全措施

目前该漏洞已经修复，受影响用户可升级到Splunk Enterprise 9.2.2、9.1.5、9.0.10 或更高版本；Splunk Cloud Platform 9.1.2312.109、9.1.2308.207或更高版本。

下载链接：

https://www.splunk.com/en_us/products/splunk-enterprise.html

临时措施
针对CVE-2024-36991：
该漏洞已知影响Windows上的 Splunk Enterprise。

此外，该漏洞会影响已启用Splunk Web 的实例，如果 Splunk Enterprise 实例未运行 Splunk Web则不易受该漏洞影响。如非必要，受影响用户可通过关闭 Splunk Web 作为一种缓解措施，详情可参考禁用不必要的 Splunk Enterprise 组件和web.conf配置规范文件。

参考链接
https://advisory.splunk.com/advisories/SVD-2024-0711

https://research.splunk.com/application/e7c2b064-524e-4d65-8002-efce808567aa/

https://advisory.splunk.com/advisories/SVD-2024-0704

https://advisory.splunk.com/advisories/SVD-2024-0702