CVE-2024-34060 是 IRIS EVTX Pipeline Module 中的一个任意文件访问漏洞。该漏洞允许攻击者在 EVTX 文件上传过程中利用不安全的的文件名处理机制,进行任意文件写入操作。受影响的版本包括 1.0.0 及更早版本。此漏洞已在 1.0.0 版本中修复。
攻击者可以利用此漏洞在服务器上写入任意文件,这可能导致严重的安全问题。结合服务器端模板注入 (SSTI) 漏洞,攻击者可以执行任意代码,完全控制受影响的系统。攻击者可能利用此漏洞窃取敏感数据、破坏系统配置,甚至完全接管服务器。由于 EVTX 文件通常包含系统日志信息,攻击者可能通过分析这些日志来获取有关系统内部运作的敏感信息,从而进一步扩大攻击范围。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞的利用模式类似于其他文件写入漏洞,攻击者可能利用它来上传恶意脚本或配置文件,从而控制受影响的系统。CISA 尚未将其添加到 KEV 目录。
Organizations utilizing the IRIS EVTX Pipeline Module for log ingestion, particularly those with internet-facing deployments or those using the module to process logs from untrusted sources, are at significant risk. Legacy configurations of IRIS web applications and environments where input validation is weak are especially vulnerable.
• linux / server:
find /opt/iris/ -name "iris-evtx-module*" -mtime +7 # Check for older versions
journalctl -u iris-web -g "EVTX upload" | grep -i "error" # Look for upload errors• generic web:
curl -I <IRIS_WEB_ENDPOINT>/evtx_upload.php | grep -i "server" # Check server header for potential information leakagedisclosure
漏洞利用状态
EPSS
2.44% (85% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级到 1.0.0 或更高版本。如果无法立即升级,可以尝试限制 EVTX 文件的上传路径,并实施严格的文件名验证机制,以防止攻击者上传恶意文件。此外,应定期审查和更新服务器的配置,确保其安全性。如果怀疑系统已被入侵,应立即进行安全审计,并采取必要的补救措施。升级后,请验证新版本是否正确安装并修复了漏洞。
Actualice el módulo iris-evtx-module a la versión 1.0.0 o superior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos. Puede actualizar el módulo utilizando el gestor de paquetes de Python, pip, ejecutando el comando: `pip install --upgrade iris-evtx-module`.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-34060 是 IRIS EVTX Pipeline Module 中的一个漏洞,允许攻击者进行任意文件写入,可能导致远程代码执行。
如果您的系统运行 IRIS EVTX Pipeline Module 的版本 ≤ 1.0.0,则可能受到影响。
升级到 1.0.0 或更高版本可以修复此漏洞。
目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请查阅 IRIS 官方安全公告或相关安全报告以获取更多信息。
上传你的 requirements.txt 文件,立即知道是否受影响。