Alertas

Vulnerabilidades en productos de Splunk

02 Jun 2023

INTRODUCCIÓN

Splunk ha publicado 12 vulnerabilidades. Estas vulnerabilidades afectan a diferentes productos como Splunk Enterprise, Splunk Cloud Platform, Splunk App for Lookup File Editing y Splunk App for Stream. Estas vulnerabilidades, tienen asignados los siguientes CVE: CVE-2023-32717, CVE-2023-32716, CVE-2023-32715, CVE-2023-32710, CVE-2023-32714, CVE-2023-32713, CVE-2023-32712, CVE-2023-32711, CVE-2023-32709, CVE-2023-32708, CVE-2023-32707, CVE-2023-32706. Esta nota se centrará en CVE-2023-32707, CVE-2023-32714.

ANÁLISIS

CVE-2023-32707 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8:

Un usuario con pocos privilegios que posea un rol que tenga asignada la capacidad 'edit_user' puede escalar sus privilegios a los del usuario admin mediante una petición web especialmente diseñada. Esto se debe a que la capacidad "edit_user" no respeta el parámetro "grantableRoles" del archivo de configuración authorize.conf, que impide que se produzca esta situación.

CVE-2023-32714 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N - 8.1:

Un usuario con privilegios bajos con acceso a la Splunk App for Lookup File Editing puede, con una petición web especialmente diseñada, desencadenar un exploit de path traversal que puede utilizarse para leer y escribir en áreas restringidas del directorio de instalación de Splunk.

VERSIONES AFECTADAS

Splunk Enterprise versiones 8.1.0 a 8.1.13

Splunk Enterprise versiones 8.2.0 a 8.2.10

Splunk Enterprise versiones 9.0.0 a 9.0.4

Splunk Cloud Platform versiones 9.0.2303 e inferiores

RECOMENDACIONES

Actualice a Splunk Enterprise versión 8.1.14

Actualice a Splunk Enterprise versión 8.2.11

Actualice a Splunk Enterprise versión 9.0.5

Actualice a Splunk Cloud Platform versión 9.0.2303.100

REFERENCIAS

https://advisory.splunk.com/advisories
https://advisory.splunk.com/advisories/SVD-2023-0602
https://advisory.splunk.com/advisories/SVD-2023-0608