प्लेटफ़ॉर्म
splunk
घटक
splunk-enterprise
में ठीक किया गया
9.3.1
9.2.3
9.1.6
Splunk Enterprise में एक Arbitrary File Access भेद्यता पाई गई है, जिससे कम विशेषाधिकार वाले उपयोगकर्ता सिस्टम रूट डायरेक्टरी में फ़ाइल लिख सकते हैं। यह भेद्यता Splunk Enterprise के संस्करण 9.1 से 9.3.0 तक के संस्करणों को प्रभावित करती है। Splunk Enterprise 9.3.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सिस्टम पर अनधिकृत फ़ाइलें लिखने की अनुमति देती है, जिससे संभावित रूप से सिस्टम स्थिरता प्रभावित हो सकती है या दुर्भावनापूर्ण कोड निष्पादित किया जा सकता है। चूंकि फ़ाइलें Windows System32 फ़ोल्डर में लिखी जा सकती हैं, इसलिए यह सिस्टम के सामान्य कामकाज को बाधित कर सकता है। इस भेद्यता का उपयोग सिस्टम पर नियंत्रण हासिल करने और संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है। यह भेद्यता अन्य प्रणालियों में आगे बढ़ने के लिए एक प्रारंभिक बिंदु के रूप में भी काम कर सकती है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं। CISA ने इस भेद्यता को अपनी ज्ञात भेद्यता सूची (KEV) में शामिल करने पर विचार किया हो सकता है, क्योंकि इसका शोषण उच्च जोखिम वाला है। वर्तमान में, सक्रिय शोषण अभियान की कोई पुष्टि नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।
Organizations utilizing Splunk Enterprise for Windows, particularly those with deployments on separate drives and with less stringent access control configurations, are at risk. Environments with legacy Splunk deployments or those that haven't consistently applied security patches are especially vulnerable. Shared hosting environments where Splunk is installed could also be affected if the underlying host system is compromised.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.Principal.Identity.Name -like "*splunk*"}• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like "*splunk*"} | Select-Object -ExpandProperty CommandLine• windows / supply-chain:
Get-WinEvent -LogName Security -Filter "EventID=4663" -MaxEvents 100 | Where-Object {$_.Properties[0].Value -like "*splunk*"}disclosure
एक्सप्लॉइट स्थिति
EPSS
0.78% (74% शतमक)
CISA SSVC
CVSS वेक्टर
Splunk Enterprise को संस्करण 9.3.1 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, Splunk Enterprise के लिए एक फ़ायरवॉल नियम कॉन्फ़िगर करें जो सिस्टम रूट डायरेक्टरी में फ़ाइलों को लिखने के प्रयासों को ब्लॉक करता है। इसके अतिरिक्त, Splunk Enterprise के लिए एक्सेस नियंत्रण को कड़ा करें ताकि केवल अधिकृत उपयोगकर्ताओं को ही व्यवस्थापकीय विशेषाधिकार प्राप्त हों। अपडेट के बाद, यह सुनिश्चित करने के लिए सिस्टम की जाँच करें कि भेद्यता ठीक हो गई है।
Actualice Splunk Enterprise a la versión 9.3.1, 9.2.3 o 9.1.6 o superior. Esto corrige la vulnerabilidad que permite la escritura arbitraria de archivos en el directorio raíz del sistema Windows. La actualización mitiga el riesgo de ejecución remota de comandos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-45731 Splunk Enterprise में एक भेद्यता है जो कम विशेषाधिकार वाले उपयोगकर्ताओं को सिस्टम रूट डायरेक्टरी में फ़ाइल लिखने की अनुमति देती है, जिससे संभावित रूप से सिस्टम अस्थिर हो सकता है या दुर्भावनापूर्ण कोड निष्पादित किया जा सकता है।
यदि आप Splunk Enterprise के संस्करण 9.1 से 9.3.0 तक का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Splunk Enterprise को संस्करण 9.3.1 या बाद के संस्करण में तुरंत अपडेट करें।
वर्तमान में सक्रिय शोषण अभियान की कोई पुष्टि नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।
आप Splunk की वेबसाइट पर CVE-2024-45731 के लिए आधिकारिक सलाहकार पा सकते हैं: [https://www.splunk.com/](https://www.splunk.com/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।