Alex Hordijk

**Nome do Software Vulnerável e Versões Afetadas** Splunk Enterprise versões anteriores a 10.2.4 Splunk Enterprise versões anteriores a 10.0.7 Splunk Cloud Platform versões anteriores a 10.4.2604.3 Splunk Cloud Platform versões anteriores a 10.2.2510.14 **Description** Um usuário não autenticado pode criar ou truncar arquivos arbitrários em um sistema por meio de um endpoint de serviço sidecar do PostgreSQL que carece de controles de autenticação. Essa falha permite que atacantes acessíveis pela rede invoquem operações de arquivo sem credenciais, o que pode levar à destruição de dados, interrupção de serviço, escalonamento de privilégios ou execução remota de código (RCE) ao sobrescrever arquivos ou configurações sensíveis. O problema é particularmente prevalente em implantações na AWS, onde o sidecar é habilitado por padrão. Detalhes técnicos incluem o uso de endpoints como '/v1/postgres/recovery/backup', '/v1/postgres/recovery/restore' e '/en-US/splunkd/ raw/v1/postgres/recovery/backup'. Atacantes podem usar a injeção de string de conexão através do parâmetro `hostaddr` para forçar uma conexão de banco de dados externa. Ao utilizar a função `lo export()` durante uma restauração de SQL maliciosa, os atacantes podem gravar conteúdo controlado em arquivos críticos, como o arquivo `.pgpass` ou scripts Python como `ssg enable modular input.py()`, para alcançar a execução total de código com privilégios de nível Splunk. **Recommendations** Para Splunk Enterprise versões anteriores a 10.2.4, atualize para a versão 10.2.4 ou posterior. Para Splunk Enterprise versões anteriores a 10.0.7, atualize para a versão 10.0.7 ou posterior. Para Splunk Cloud Platform versões anteriores a 10.4.2604.3, atualize para a versão 10.4.2604.3 ou posterior. Para Splunk Cloud Platform versões anteriores a 10.2.2510.14, atualize para a versão 10.2.2510.14 ou posterior. Como solução temporária, desabilite o serviço sidecar do PostgreSQL. Restrinja o acesso de rede às instâncias do Splunk usando regras de firewall para evitar a exposição pública de portas de gerenciamento.

**Nome do Software Vulnerável e Versões Afetadas** Splunk Enterprise versões anteriores a 10.2.2 Splunk Enterprise versões anteriores a 10.0.5 Splunk Enterprise versões anteriores a 9.4.11 Splunk Enterprise versões anteriores a 9.3.12 Splunk Cloud Platform versões anteriores a 10.4.2603.1 Splunk Cloud Platform versões anteriores a 10.3.2512.9 Splunk Cloud Platform versões anteriores a 10.2.2510.11 Splunk Cloud Platform versões anteriores a 10.1.2507.21 Splunk Cloud Platform versões anteriores a 10.0.2503.13 Splunk Cloud Platform versões anteriores a 9.3.2411.129 **Description** Um usuário com baixos privilégios que não possua as funções 'admin' ou 'power' pode causar uma Negação de Serviço (Denial of Service) ao explorar o script `coldToFrozen.sh` no aplicativo `splunk archiver`. O problema ocorre devido à falta de validação de entrada no script `coldToFrozen.sh`, que aceita caminhos de arquivos arbitrários e os renomeia sem restringir as operações a diretórios seguros, tornando a instância não funcional. **Recommendations** Atualize o Splunk Enterprise para a versão 10.2.2, 10.0.5, 9.4.11 ou 9.3.12, dependendo da trilha de lançamento atual. Atualize o Splunk Cloud Platform para a versão 10.4.2603.1, 10.3.2512.9, 10.2.2510.11, 10.1.2507.21, 10.0.2503.13 ou 9.3.2411.129, dependendo da trilha de lançamento atual. Como medida paliativa temporária, restrinja o acesso ao script `coldToFrozen.sh` no aplicativo `splunk archiver`.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 10.2.0, 10.0.3, 9.4.9, and 9.3.10 Splunk Cloud Platform versions prior to 10.2.2510.5, 10.1.2507.16, 10.0.2503.11, and 9.3.2411.123 **Description** A user with limited privileges, lacking the 'admin' or 'power' Splunk roles, can access the `/splunkd/ raw/servicesNS/-/-/configs/conf-passwords` API endpoint. This endpoint exposes hashed or plaintext password values stored in the `passwords.conf` configuration file due to insufficient access controls. This could lead to the unauthorized disclosure of sensitive credentials. **Recommendations** Splunk Enterprise versions prior to 10.2.0, 10.0.3, 9.4.9, and 9.3.10 should be updated. Splunk Cloud Platform versions prior to 10.2.2510.5, 10.1.2507.16, 10.0.2503.11, and 9.3.2411.123 should be updated.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Splunk Enterprise anteriores à 10.0.1 Versões do Splunk Enterprise de 9.2.8 a 9.4.4 Versões do Splunk Cloud Platform anteriores à 9.3.2411.109 Versões do Splunk Cloud Platform de 9.2.2406.122 a 9.3.2408.119 **Descrição** Um atacante não autenticado poderia acionar uma falsificação de solicitação do lado do servidor (SSRF) cega. Isso poderia permitir que um atacante realizasse chamadas de API REST em nome de um usuário autenticado com altos privilégios. A falsificação de solicitação do lado do servidor (SSRF) é uma vulnerabilidade de segurança web que permite que um atacante induza a aplicação do lado do servidor a fazer requisições HTTP para um domínio arbitrário de escolha do atacante. **Recomendações** Atualize o Splunk Enterprise para a versão 10.0.1 ou posterior. Atualize o Splunk Enterprise para uma versão posterior à 9.4.4. Atualize o Splunk Cloud Platform para a versão 9.3.2411.109 ou posterior. Atualize o Splunk Cloud Platform para uma versão posterior à 9.3.2408.119 e 9.2.2406.122.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Splunk Enterprise anteriores a 9.3.3 Versões do Splunk Enterprise anteriores a 9.2.5 Versões do Splunk Enterprise anteriores a 9.1.8 Versões do Splunk Cloud Platform anteriores a 9.3.2408.104 Versões do Splunk Cloud Platform anteriores a 9.2.2406.108 Versões do Splunk Cloud Platform anteriores a 9.2.2403.114 Versões do Splunk Cloud Platform anteriores a 9.1.2312.208 **Descrição** Um usuário com privilégios limitados que não possui as funções "admin" ou "power" do Splunk poderia realizar uma Execução Remota de Código (RCE) através do upload de um arquivo para o diretório "$SPLUNK HOME/var/run/splunk/apptemp" devido à falta de verificações de autorização. Este problema permite que atacantes executem código arbitrário fazendo upload de arquivos maliciosos. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais onde este problema foi explorado. **Recomendações** Para versões do Splunk Enterprise anteriores a 9.3.3, atualize para a versão 9.3.3 ou posterior. Para versões do Splunk Enterprise anteriores a 9.2.5, atualize para a versão 9.2.5 ou posterior. Para versões do Splunk Enterprise anteriores a 9.1.8, atualize para a versão 9.1.8 ou posterior. Para versões do Splunk Cloud Platform anteriores a 9.3.2408.104, atualize para a versão 9.3.2408.104 ou posterior. Para versões do Splunk Cloud Platform anteriores a 9.2.2406.108, atualize para a versão 9.2.2406.108 ou posterior. Para versões do Splunk Cloud Platform anteriores a 9.2.2403.114, atualize para a versão 9.2.2403.114 ou posterior. Para versões do Splunk Cloud Platform anteriores a 9.1.2312.208, atualize para a versão 9.1.2312.208 ou posterior. Como medida temporária de contorno, considere restringir o acesso ao diretório "$SPLUNK HOME/var/run/splunk/apptemp" até que uma correção esteja disponível.

Nome do software vulnerável e versões afetadas: PAN-OS (versões afetadas não especificadas) Descrição: Uma vulnerabilidade de injeção cega de Entidades Externas XML (XXE) no software PAN-OS da Palo Alto Networks permite que um invasor autenticado extraia arquivos arbitrários dos firewalls para um servidor controlado por ele. Esse ataque requer acesso de rede à interface de gerenciamento do firewall. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise para Windows anteriores à 9.3.1 Versões do Splunk Enterprise para Windows anteriores à 9.2.3 Versões do Splunk Enterprise para Windows anteriores à 9.1.6 Descrição: O problema está relacionado à restrição incorreta do nome do caminho do diretório com acesso limitado. Um usuário com privilégios reduzidos que não possua as funções “admin” ou “power” do Splunk poderia gravar um arquivo no diretório raiz do sistema Windows, que tem uma localização padrão na pasta System32 do Windows, quando o Splunk Enterprise para Windows estiver instalado em uma unidade separada. Isso poderia potencialmente levar à gravação arbitrária de arquivos e à execução remota de código. Recomendações: Para versões anteriores à 9.3.1, atualize para a versão 9.3.1 ou posterior. Para versões anteriores à 9.2.3, atualize para a versão 9.2.3 ou posterior. Para versões anteriores à 9.1.6, atualize para a versão 9.1.6 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 9.2.3 Versões do Splunk Enterprise anteriores à 9.1.6 **Descrição** O problema está relacionado à configuração insegura do armazenamento de sessões no Splunk Enterprise para Windows, permitindo que um usuário com privilégios limitados, sem as funções “admin” ou “power” do Splunk, execute código remotamente (RCE). Isso se deve a deficiências no mecanismo de desserialização do componente Splunk Web. **Recomendações** Para versões anteriores à 9.2.3, atualize para a versão 9.2.3 ou posterior. Para versões anteriores à 9.1.6, atualize para a versão 9.1.6 ou posterior. Como solução alternativa temporária, considere restringir o acesso à configuração de armazenamento de sessão para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 9.2.2 Versões do Splunk Enterprise anteriores à 9.1.5 Versões do Splunk Enterprise anteriores à 9.0.10 **Descrição** Um usuário com privilégios limitados, que não possua as funções de administrador ou de poder no Splunk, pode causar uma execução remota de código por meio de uma consulta externa que faça referência ao aplicativo `splunk archiver`. Essa vulnerabilidade permite a execução remota de código, podendo levar a brechas de segurança significativas. **Recomendações** Para versões anteriores à 9.2.2, atualize para a versão 9.2.2 ou posterior. Para versões anteriores à 9.1.5, atualize para a versão 9.1.5 ou posterior. Para versões anteriores à 9.0.10, atualize para a versão 9.0.10 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao aplicativo `splunk archiver` até que um patch seja aplicado.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions below 9.0.7 and 9.1.2 **Description** The issue is related to the improper sanitization of extensible stylesheet language transformations (XSLT) supplied by users in Splunk Enterprise. This allows an attacker to upload malicious XSLT, potentially resulting in remote code execution on the Splunk Enterprise instance. There are over 120,000 publicly exposed Splunk instances, making them vulnerable to this issue. **Recommendations** For Splunk Enterprise versions below 9.0.7, update to version 9.0.7 or later. For Splunk Enterprise versions below 9.1.2, update to version 9.1.2 or later. As a temporary workaround, consider restricting access to the XSLT functionality until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** Palo Alto Networks PAN-OS (affected versions not specified) **Description** A file disclosure issue in the software enables an authenticated read-write administrator with access to the web interface to export local files from the firewall through a race condition. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** GenieACS versões 1.2.x a 1.2.7 **Descrição** O problema decorre da validação insuficiente de entradas, combinada com a ausência de verificação de autorização na API da interface do usuário (UI), permitindo a injeção de comandos do sistema operacional sem autenticação por meio do argumento `ping host`. Isso se deve a vulnerabilidades nos arquivos `lib/ui/api.ts` e `lib/ping.ts`. **Recomendações** Para as versões 1.2.x a 1.2.7 do GenieACS, atualize para a versão 1.2.8 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos arquivos `lib/ui/api.ts` e `lib/ping.ts` para minimizar o risco de exploração. Evite usar o argumento `ping host` na API da interface do usuário até que o problema seja resolvido.