Chris Green

**Name of the Vulnerable Software and Affected Versions** Splunk Add-on Builder versions prior to 4.1.2 Splunk CloudConnect SDK versions prior to 3.1.3 **Description** The issue occurs when requests to third-party APIs through the REST API Modular Input incorrectly revert to using HTTP to connect after a failure to connect over HTTPS. This affects not only the Splunk Add-on Builder but also apps generated by it when using the REST API Modular Input functionality, as well as potentially third-party apps and add-ons that directly call the `cloudconnectlib.splunktacollectorlib.cloud connect mod input` Python class. **Recommendations** For Splunk Add-on Builder versions prior to 4.1.2, update to version 4.1.2 or later. For Splunk CloudConnect SDK versions prior to 3.1.3, update to version 3.1.3 or later. As a temporary workaround, consider restricting the use of the REST API Modular Input functionality until a patch is applied.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 9.0 Versões da Splunk Cloud Platform anteriores à 8.2.2203 **Descrição** O problema diz respeito à falta de validação do certificado TLS durante as comunicações Splunk-para-Splunk por padrão nas versões afetadas. Isso poderia permitir que um invasor com credenciais de administrador adicionasse um par sem um certificado válido. As conexões de nós mal configurados sem certificados válidos não falhavam por padrão. **Recomendações** Para versões do Splunk Enterprise anteriores à 9.0, atualize para a versão 9.0 do Splunk Enterprise. Para o Splunk Enterprise, configure a validação do nome do host TLS para comunicações Splunk-para-Splunk a fim de habilitar a correção. Para versões da Splunk Cloud Platform anteriores à 8.2.2203, atualize para a versão 8.2.2203 ou posterior da Splunk Cloud Platform.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 9.0 Versões da Splunk Cloud Platform anteriores à 8.2.2203 **Descrição** O problema diz respeito à falta de validação do certificado TLS durante as comunicações Splunk-para-Splunk por padrão nas versões afetadas. Isso poderia permitir que um invasor com credenciais de administrador adicionasse um par sem um certificado válido. As conexões de nós mal configurados sem certificados válidos não falhavam por padrão. **Recomendações** Para versões do Splunk Enterprise anteriores à 9.0, atualize para a versão 9.0 do Splunk Enterprise. Para o Splunk Enterprise, configure a validação do nome do host TLS para comunicações Splunk-para-Splunk a fim de habilitar a correção. Para versões da Splunk Cloud Platform anteriores à 8.2.2203, atualize para a versão 8.2.2203 ou posterior da Splunk Cloud Platform.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 9.0 Versões da Splunk Cloud Platform anteriores à 8.2.2203 **Descrição** O problema diz respeito às bibliotecas Python httplib e urllib no Splunk, que não validavam certificados usando os armazenamentos de certificados da autoridade certificadora (CA) por padrão. Isso foi corrigido nas versões mais recentes, nas quais as bibliotecas de cliente Python 3 agora verificam os certificados do servidor por padrão. O número estimado de dispositivos potencialmente afetados não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões do Splunk Enterprise anteriores à 9.0, atualize para a versão 9.0 do Splunk Enterprise. Para o Splunk Enterprise, configure a validação do nome do host TLS para comunicações Splunk-para-Splunk seguindo a documentação em https://docs.splunk.com/Documentation/Splunk/9.0.0/Security/EnableTLSCertHostnameValidation para habilitar a correção. Para versões do Splunk Cloud Platform anteriores à 8.2.2203, atualize para a versão 8.2.2203 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Universal Forwarder anteriores à 9.0 **Descrição** O Universal Forwarder disponibiliza serviços de gerenciamento remotamente por padrão nas versões anteriores à 9.0, o que pode representar um risco potencial caso não sejam necessários. Na versão 9.0, a porta de gerenciamento é vinculada ao localhost por padrão, impedindo logins remotos. Recomenda-se que os clientes avaliem a gravidade potencial dessa vulnerabilidade específica ao seu ambiente. **Recomendações** Para versões do Universal Forwarder anteriores à 9.0, se os serviços de gerenciamento não forem necessários, defina `disableDefaultPort` = true no `server.conf` ou `allowRemoteLogin` = never no `server.conf` ou `mgmtHostPort` = localhost no `web.conf` para desativar os serviços de gerenciamento remoto.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 9.0 **Descrição** A vulnerabilidade permite que um invasor insira comandos de pesquisa de risco em um token de formulário quando esse token é utilizado em uma consulta dentro de uma solicitação entre domínios, contornando as proteções do SPL contra comandos de risco. Trata-se de um ataque baseado em navegador e não pode ser explorado à vontade. **Recomendações** Para versões anteriores à 9.0, atualize para a versão 9.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere limitar o acesso a comandos personalizados e potencialmente perigosos usando os novos recursos fornecidos na versão 9.0.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise e do Universal Forwarder anteriores à 9.0 **Descrição** O problema está relacionado ao fato de a interface de linha de comando (CLI) do Splunk não validar certificados TLS ao se conectar a uma instância remota da plataforma Splunk por padrão. Isso requer condições que estão além do controle de um possível invasor, como um ataque man-in-the-middle, e é classificado como um ataque de alta complexidade. Não há evidências de exploração dessa vulnerabilidade por terceiros no momento da publicação. A Splunk Cloud Platform não é afetada. **Recomendações** Para as versões do Splunk Enterprise e do Universal Forwarder anteriores à 9.0, atualize para a versão 9.0 e siga a documentação para habilitar a validação do nome do host TLS para a CLI do Splunk. Isso pode ser feito configurando as definições conforme descrito na documentação do Splunk.