Platform
python
Component
iris-evtx-module
Opgelost in
1.0.1
CVE-2024-34060 beschrijft een kwetsbaarheid voor Arbitrary File Access in de IRIS EVTX Pipeline Module. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden te schrijven, wat in combinatie met een Server Side Template Injection (SSTI) kan leiden tot Remote Code Execution (RCE). De kwetsbaarheid treft versies van de module die kleiner of gelijk zijn aan 1.0.0. Een patch is beschikbaar in versie 1.0.0.
Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om bestanden op het systeem te schrijven, wat ernstige gevolgen kan hebben. Door het uploaden van een EVTX-bestand via de pipeline kan de aanvaller de bestandsnaam manipuleren en zo willekeurige bestanden schrijven. In combinatie met een Server Side Template Injection (SSTI) kan dit leiden tot Remote Code Execution (RCE), waardoor de aanvaller volledige controle over het systeem kan verkrijgen. De impact is vergelijkbaar met scenario's waarbij een aanvaller toegang krijgt tot gevoelige configuratiebestanden of de mogelijkheid heeft om malware te installeren.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen informatie over actieve exploitatiecampagnes, maar de combinatie met SSTI maakt het een potentieel aantrekkelijk doelwit. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de ernst ervan onderstreept. Er zijn publieke Proof-of-Concept (POC) exploits beschikbaar, wat het risico op uitbuiting vergroot.
Organizations utilizing the IRIS EVTX Pipeline Module for log ingestion, particularly those with internet-facing deployments or those using the module to process logs from untrusted sources, are at significant risk. Legacy configurations of IRIS web applications and environments where input validation is weak are especially vulnerable.
• linux / server:
find /opt/iris/ -name "iris-evtx-module*" -mtime +7 # Check for older versions
journalctl -u iris-web -g "EVTX upload" | grep -i "error" # Look for upload errors• generic web:
curl -I <IRIS_WEB_ENDPOINT>/evtx_upload.php | grep -i "server" # Check server header for potential information leakagedisclosure
Exploit Status
EPSS
2.44% (85% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 1.0.0 van de IRIS EVTX Pipeline Module. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om de upload van EVTX-bestanden te filteren en kwaadaardige bestandsnamen te blokkeren. Controleer de configuratie van de IRIS web applicatie om te verzekeren dat er geen onveilige configuraties aanwezig zijn die de kwetsbaarheid verergeren. Na de upgrade, verifieer de correcte werking van de module door een test EVTX-bestand te uploaden en te controleren of de bestandsnaam correct wordt verwerkt.
Actualice el módulo iris-evtx-module a la versión 1.0.0 o superior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos. Puede actualizar el módulo utilizando el gestor de paquetes de Python, pip, ejecutando el comando: `pip install --upgrade iris-evtx-module`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-34060 is a HIGH severity vulnerability in the IRIS EVTX Pipeline Module allowing attackers to potentially write arbitrary files, leading to remote code execution via SSTI.
You are affected if you are using IRIS EVTX Pipeline Module versions prior to 1.0.0. Immediate action is required to mitigate the risk.
Upgrade the IRIS EVTX Pipeline Module to version 1.0.0 or later. If immediate upgrade is not possible, implement temporary workarounds like input validation and WAF rules.
While no active exploitation campaigns have been publicly reported, the vulnerability's potential for remote code execution warrants immediate attention and mitigation.
Refer to the official IRIS advisory for detailed information and updates regarding CVE-2024-34060: [https://www.irisbg.com/security-advisory-cve-2024-34060](https://www.irisbg.com/security-advisory-cve-2024-34060)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.