Plateforme
python
Composant
iris-evtx-module
Corrigé dans
1.0.1
Le module IRIS EVTX Pipeline, une interface pour Evtx2Splunk et Iris, présente une vulnérabilité d'accès arbitraire aux fichiers. Cette faille, due à une gestion non sécurisée des noms de fichiers lors du chargement de fichiers EVTX, peut permettre à un attaquant d'écrire des fichiers arbitraires. Les versions affectées sont celles inférieures ou égales à 1.0.0. Une correction a été déployée dans la version 1.0.0.
Cette vulnérabilité permet à un attaquant d'écrire des fichiers arbitraires sur le système où est déployé le module IRIS EVTX Pipeline. En combinant cette faille d'accès arbitraire avec une injection de modèles côté serveur (SSTI), un attaquant pourrait potentiellement exécuter du code malveillant sur le serveur. Le risque est significatif, car une exécution de code à distance réussie pourrait compromettre l'intégrité et la confidentialité des données stockées sur le système, ainsi que permettre un accès non autorisé à d'autres ressources réseau. Bien qu'aucun exploit public n'ait été rapporté à ce jour, la combinaison avec une SSTI augmente considérablement le potentiel d'exploitation.
Cette vulnérabilité a été rendue publique le 23 mai 2024. Elle n'a pas encore été ajoutée au KEV de CISA, et son score EPSS est inconnu. Aucun proof-of-concept (PoC) public n'est actuellement disponible, mais la combinaison avec une SSTI en fait une cible potentielle pour les attaquants. Il est recommandé de surveiller les sources d'informations sur les vulnérabilités pour tout développement ultérieur.
Organizations utilizing the IRIS EVTX Pipeline Module for log ingestion, particularly those with internet-facing deployments or those using the module to process logs from untrusted sources, are at significant risk. Legacy configurations of IRIS web applications and environments where input validation is weak are especially vulnerable.
• linux / server:
find /opt/iris/ -name "iris-evtx-module*" -mtime +7 # Check for older versions
journalctl -u iris-web -g "EVTX upload" | grep -i "error" # Look for upload errors• generic web:
curl -I <IRIS_WEB_ENDPOINT>/evtx_upload.php | grep -i "server" # Check server header for potential information leakagedisclosure
Statut de l'Exploit
EPSS
2.44% (percentile 85%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le module IRIS EVTX Pipeline vers la version 1.0.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, envisagez de désactiver temporairement le module ou de restreindre l'accès aux fichiers EVTX chargés. Il n'existe pas de contournement de configuration connu, mais une surveillance accrue des journaux d'accès et d'erreurs peut aider à détecter une tentative d'exploitation. Après la mise à jour, vérifiez que le module fonctionne correctement et qu'il n'y a pas de régressions.
Actualice el módulo iris-evtx-module a la versión 1.0.0 o superior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos. Puede actualizar el módulo utilizando el gestor de paquetes de Python, pip, ejecutando el comando: `pip install --upgrade iris-evtx-module`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-34060 is a HIGH severity vulnerability in the IRIS EVTX Pipeline Module allowing attackers to potentially write arbitrary files, leading to remote code execution via SSTI.
You are affected if you are using IRIS EVTX Pipeline Module versions prior to 1.0.0. Immediate action is required to mitigate the risk.
Upgrade the IRIS EVTX Pipeline Module to version 1.0.0 or later. If immediate upgrade is not possible, implement temporary workarounds like input validation and WAF rules.
While no active exploitation campaigns have been publicly reported, the vulnerability's potential for remote code execution warrants immediate attention and mitigation.
Refer to the official IRIS advisory for detailed information and updates regarding CVE-2024-34060: [https://www.irisbg.com/security-advisory-cve-2024-34060](https://www.irisbg.com/security-advisory-cve-2024-34060)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.