关于Splunk Enterprise 2月多个安全漏洞的风险提示

2023-02-1743

近日,市委网信办技术支撑单位监测发现Splunk 官方发布季度安全补丁更新,修复了 Splunk Enterprise 中的多个安全漏洞。攻击者可利用这些漏洞绕过 Splunk SPL 安全限制或进行跨站脚本攻击,进而可导致信息泄露或数据损坏。鉴于这些漏洞影响较大,建议客户尽快做好自查及防护。

1.1漏洞描述

Splunk Enterprise 是一款专业的数据分析软件,能够对采样的数据以及统计图做出专业分析,支持跨平台使用,常用于金融、IT、财务等多个领域。

CVE-2023-22939 Splunk Enterprise安全特性绕过漏洞,允许使用 map 搜索处理语言(SPL) 命令绕过SPL对有风险命令的保护措施。

CVE-2023-22934 Splunk Enterprise安全特性绕过漏洞,允许使用“pivot”搜索处理语言 (SPL) 命令绕过SPL保护措施,使用已保存的搜索作业来执行有风险的命令。

CVE-2023-22935 Splunk Enterprise 安全特性绕过漏洞,允许通过“display.pa ge.search.patterns.sensitivity”搜索参数绕过 SPL 风险命令安全限制。

CVE-2023-22933 Splunk Enterprise 存储型跨站脚本漏洞,允许通过“module”标签中的“layoutPanel”属性以可扩展标记语言 (XML) 视图进行跨站点脚本(XSS)攻击。

CVE-2023-22932 Splunk Enterprise 存储型跨站脚本漏洞,允许通过 Base64 编码图像中的错误消息进行跨站点脚本(XSS)攻击。

1.2 漏洞编号

CVE-2023-22939

CVE-2023-22934

CVE-2023-22935

CVE-2023-22932

CVE-2023-22933

1.3漏洞等级

高危


二、修复建议

2.1 受影响版本

Splunk Enterprise <= 8.1.12 

Splunk Enterprise 8.2.x <= 8.2.9 

Splunk Enterprise 9.0.x <= 9.0.3 

Splunk Cloud Platform <= 9.2.2209

2.2 修复建议

建议尽快升级至安全版本(Splunk Enterprise 8.1.13、8.2.10、9.0.4 及更高版本): 

https://www.splunk.com/en_us/products/splunk-enterprise.html