Danylo Dmytriiev

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 10.2.0, 10.0.4, 9.4.9, and 9.3.10 Splunk Cloud Platform versions prior to 10.2.2510.5, 10.0.2503.12, 10.1.2507.16, and 9.3.2411.124 **Description** A user with a role containing the `edit cmd` capability can execute arbitrary shell commands. This is possible through the `unarchive cmd` parameter of the `/splunkd/ upload/indexing/preview` REST endpoint. The issue stems from inadequate input sanitization, allowing for remote command execution. **Recommendations** Update Splunk Enterprise to version 10.2.0 or later. Update Splunk Cloud Platform to version 10.2.2510.5 or later. Remove the `edit cmd` capability from user roles if an immediate update is not possible.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 10.2.0 Splunk Enterprise versions 10.0.3 and earlier Splunk Enterprise versions 9.4.9 and earlier Splunk Enterprise versions 9.3.9 and earlier Splunk Cloud Platform versions prior to 10.2.2510.4 Splunk Cloud Platform versions 10.1.2507.15 and earlier Splunk Cloud Platform versions 10.0.2503.11 and earlier Splunk Cloud Platform versions 9.3.2411.123 and earlier **Description** A low-privileged user lacking 'admin' or 'power' Splunk roles can create a malicious payload when creating a View (Settings - User Interface - Views) at the `/manager/launcher/data/ui/views/ new` API endpoint. This leads to a Stored Cross-Site Scripting (XSS) issue due to a path traversal vulnerability. Successful exploitation could result in the execution of unauthorized JavaScript code within a user's browser. The attacker must trick the victim into initiating a request within their browser through phishing to exploit this issue. The authenticated user cannot exploit the vulnerability independently. **Recommendations** Splunk Enterprise versions prior to 10.2.0 should be upgraded to version 10.2.0 or later. Splunk Enterprise versions 10.0.3 and earlier should be upgraded to version 10.0.3 or later. Splunk Enterprise versions 9.4.9 and earlier should be upgraded to version 9.4.9 or later. Splunk Enterprise versions 9.3.9 and earlier should be upgraded to version 9.3.9 or later. Splunk Cloud Platform versions prior to 10.2.2510.4 should be upgraded to version 10.2.2510.4 or later. Splunk Cloud Platform versions 10.1.2507.15 and earlier should be upgraded to version 10.1.2507.15 or later. Splunk Cloud Platform versions 10.0.2503.11 and earlier should be upgraded to version 10.0.2503.11 or later. Splunk Cloud Platform versions 9.3.2411.123 and earlier should be upgraded to version 9.3.2411.123 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Splunk Enterprise anteriores a 9.4.4 Versões do Splunk Enterprise de 9.2.8 a 9.3.6 Versões do Splunk Cloud Platform anteriores a 9.3.2411.108 Versões do Splunk Cloud Platform de 9.2.2406.123 a 9.3.2408.118 **Descrição** Um usuário com privilégios limitados, sem funções de administrador ou power, pode criar um payload malicioso por meio de mensagens de erro e detalhes de inspeção de job de uma pesquisa salva. Isso permite a execução de código JavaScript não autorizado no navegador de um usuário. O problema envolve a criação de um payload malicioso que explora a maneira como o Splunk lida com detalhes de pesquisas salvas e relato de erros. **Recomendações** Atualize o Splunk Enterprise para a versão 9.4.4 ou posterior. Atualize o Splunk Enterprise para a versão 9.3.6 ou posterior. Atualize o Splunk Enterprise para a versão 9.2.8 ou posterior. Atualize o Splunk Cloud Platform para a versão 9.3.2411.108 ou posterior. Atualize o Splunk Cloud Platform para a versão 9.3.2408.118 ou posterior. Atualize o Splunk Cloud Platform para a versão 9.2.2406.123 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Splunk Enterprise anteriores a 9.4.4 Versões do Splunk Enterprise anteriores a 9.3.6 Versões do Splunk Enterprise anteriores a 9.2.8 Versões do Splunk Cloud Platform anteriores a 9.3.2411.109 Versões do Splunk Cloud Platform anteriores a 9.3.2408.119 Versões do Splunk Cloud Platform anteriores a 9.2.2406.122 **Descrição** Um usuário com privilégios limitados, sem as funções 'admin' ou 'power' dentro do Splunk, pode criar um payload malicioso. Este payload é entregue através do parâmetro `dataset.command` do endpoint da API `/app/search/table`. A exploração bem-sucedida permite a execução de código JavaScript não autorizado no navegador web de um usuário. **Recomendações** Atualize o Splunk Enterprise para a versão 9.4.4 ou posterior. Atualize o Splunk Enterprise para a versão 9.3.6 ou posterior. Atualize o Splunk Enterprise para a versão 9.2.8 ou posterior. Atualize o Splunk Cloud Platform para a versão 9.3.2411.109 ou posterior. Atualize o Splunk Cloud Platform para a versão 9.3.2408.119 ou posterior. Atualize o Splunk Cloud Platform para a versão 9.2.2406.122 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Splunk Enterprise anteriores à 9.4.3 Versões do Splunk Enterprise anteriores à 9.3.5 Versões do Splunk Enterprise anteriores à 9.2.7 Versões do Splunk Enterprise anteriores à 9.1.10 Versões do Splunk Cloud Platform anteriores à 9.3.2411.107 Versões do Splunk Cloud Platform anteriores à 9.3.2408.117 Versões do Splunk Cloud Platform anteriores à 9.2.2406.121 Descrição: Um usuário com baixos privilégios poderia criar uma carga útil maliciosa através da página de configuração `User Interface - Views`, potencialmente levando a uma negação de serviço (DoS) ao explorar uma vulnerabilidade de path traversal. Isso permite a exclusão de arquivos arbitrários dentro de um diretório do Splunk. A vulnerabilidade requer que o usuário com baixos privilégios realize phishing contra uma vítima com privilégios de administrador, enganando-a para iniciar uma solicitação em seu navegador. Recomendações: Para versões do Splunk Enterprise anteriores à 9.4.3, atualize para a versão 9.4.3 ou posterior. Para versões do Splunk Enterprise anteriores à 9.3.5, atualize para a versão 9.3.5 ou posterior. Para versões do Splunk Enterprise anteriores à 9.2.7, atualize para a versão 9.2.7 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.10, atualize para a versão 9.1.10 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.3.2411.107, atualize para a versão 9.3.2411.107 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.3.2408.117, atualize para a versão 9.3.2408.117 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.2.2406.121, atualize para a versão 9.2.2406.121 ou posterior. Como medida paliativa temporária, considere restringir o acesso à página de configuração `User Interface - Views` para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.3.2 Versões do Splunk Enterprise anteriores à 9.2.4 Versões do Splunk Enterprise anteriores à 9.1.7 Versões do aplicativo Splunk Secure Gateway anteriores à 3.4.261 Versões do aplicativo Splunk Secure Gateway anteriores à 3.7.13 Descrição: O problema está relacionado à possibilidade de um usuário com privilégios limitados realizar Execução Remota de Código (RCE) devido a mecanismos de desserialização insuficientes no aplicativo Splunk Secure Gateway. Isso pode ser explorado através do upload de um arquivo JSON especialmente criado e processado pela biblioteca Python jsonpickle, permitindo que um invasor execute código arbitrário remotamente. Mais de 145.000 resultados foram encontrados usando o ZoomEye Dork “app=Splunk Enterprise”, indicando um grande número de dispositivos potencialmente afetados. Recomendações: Para versões do Splunk Enterprise anteriores à 9.3.2, atualize para a versão 9.3.2 ou posterior. Para versões do Splunk Enterprise anteriores à 9.2.4, atualize para a versão 9.2.4 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.7, atualize para a versão 9.1.7 ou posterior. Para versões do aplicativo Splunk Secure Gateway anteriores à 3.4.261, atualize para a versão 3.4.261 ou posterior. Para versões do aplicativo Splunk Secure Gateway anteriores à 3.7.13, atualize para a versão 3.7.13 ou posterior. Como solução alternativa temporária, considere desativar a biblioteca jsonpickle até que um patch esteja disponível. Restrinja o acesso ao aplicativo Splunk Secure Gateway para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 9.2.3 e à 9.1.6 Versões da Splunk Cloud Platform anteriores à 9.2.2403.108 e à 9.1.2312.205 **Descrição** Um usuário com privilégios limitados, sem as funções “admin” ou ‘power’ do Splunk, poderia criar uma carga maliciosa por meio de um arquivo de configuração personalizado que o parâmetro `api.uri` do endpoint “/manager/search/apps/local” no Splunk Web chama. Isso poderia resultar na execução de código JavaScript não autorizado no navegador de um usuário, levando potencialmente a ataques de cross-site scripting (XSS). **Recomendações** Para versões do Splunk Enterprise anteriores à 9.2.3 e 9.1.6, atualize para a versão 9.2.3 ou 9.1.6 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.2.2403.108 e 9.1.2312.205, atualize para a versão 9.2.2403.108 ou 9.1.2312.205 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao endpoint “/manager/search/apps/local” no Splunk Web para minimizar o risco de exploração. Evite usar o parâmetro `api.uri` no endpoint afetado até que o problema seja resolvido.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.3.1 Versões do Splunk Enterprise anteriores à 9.2.3 Versões do Splunk Enterprise anteriores à 9.1.6 Versões da Splunk Cloud Platform anteriores à 9.2.2403.107 Versões do Splunk Cloud Platform anteriores à 9.1.2312.204 Versões do Splunk Cloud Platform anteriores à 9.1.2312.111 Descrição: Um usuário com privilégios limitados, sem as funções “admin” ou “power” do Splunk, poderia criar uma consulta de pesquisa com um parâmetro `INGEST EVAL` formatado incorretamente como parte de uma transformação de campo, o que poderia causar a falha do daemon do Splunk (splunkd), resultando em uma negação de serviço. Esse problema está relacionado a um consumo descontrolado de recursos devido ao parâmetro `INGEST EVAL` formatado incorretamente. Recomendações: Para versões do Splunk Enterprise anteriores à 9.3.1, atualize para a versão 9.3.1 ou posterior. Para versões do Splunk Enterprise anteriores à 9.2.3, atualize para a versão 9.2.3 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.6, atualize para a versão 9.1.6 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.2.2403.107, atualize para a versão 9.2.2403.107 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2312.204, atualize para a versão 9.1.2312.204 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2312.111, atualize para a versão 9.1.2312.111 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao parâmetro `INGEST EVAL` em Transformações de campo para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.2.3 Versões do Splunk Enterprise anteriores à 9.1.6 Versões da Splunk Cloud Platform anteriores à 9.2.2403 Descrição: Um usuário com privilégios limitados, sem as funções “admin” ou “power” do Splunk, poderia criar uma carga maliciosa por meio das Visualizações Programadas, resultando potencialmente na execução de código JavaScript não autorizado no navegador do usuário. Esse problema está relacionado à falta de proteção da estrutura da página da web na interface do Splunk Web, o que poderia permitir que um invasor remoto realizasse ataques de script entre sites. Recomendações: Para versões do Splunk Enterprise anteriores à 9.2.3, atualize para a versão 9.2.3 ou posterior para resolver o problema. Para versões do Splunk Enterprise anteriores à 9.1.6, atualize para a versão 9.1.6 ou posterior para resolver o problema. Para versões do Splunk Cloud Platform anteriores à 9.2.2403, atualize para a versão 9.2.2403 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às Visualizações Programadas para usuários com privilégios limitados até que um patch seja aplicado.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.2.2 Versões do Splunk Enterprise anteriores à 9.1.5 Versões do Splunk Enterprise anteriores à 9.0.10 Descrição: O problema está relacionado a uma vulnerabilidade de traversal de caminho no Splunk Enterprise no Windows, que poderia permitir que um invasor realizasse um traversal de caminho no endpoint “/modules/messaging/”. Essa vulnerabilidade deve afetar apenas o Splunk Enterprise no Windows. O número estimado de dispositivos potencialmente afetados em todo o mundo é de cerca de 257.400 serviços. A vulnerabilidade pode ser explorada para ler arquivos confidenciais, como o arquivo passwd do Splunk. Recomendações: Para versões anteriores à 9.2.2, atualize para a versão 9.2.2 ou posterior. Para versões anteriores à 9.1.5, atualize para a versão 9.1.5 ou posterior. Para versões anteriores à 9.0.10, atualize para a versão 9.0.10 ou posterior. Como solução temporária, considere restringir o acesso ao endpoint “/modules/messaging/” até que um patch esteja disponível.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.2.2 Versões do Splunk Enterprise anteriores à 9.1.5 Versões do Splunk Enterprise anteriores à 9.0.10 Versões da Splunk Cloud Platform anteriores à 9.1.2312.109 Versões da Splunk Cloud Platform anteriores à 9.1.2308.207 Descrição: O problema está relacionado à tecnologia de pesquisa externa no Splunk Enterprise, que pode ser explorada por um usuário autenticado para criar uma pesquisa externa que chama uma função interna legada. Essa função pode ser usada para inserir código no diretório de instalação da plataforma Splunk, permitindo que o usuário execute código arbitrário na instância da plataforma Splunk. A vulnerabilidade está associada à neutralização incorreta de elementos especiais usados no comando do sistema operacional. Recomendações: Para versões do Splunk Enterprise anteriores à 9.2.2, atualize para a versão 9.2.2 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.5, atualize para a versão 9.1.5 ou posterior. Para versões do Splunk Enterprise anteriores à 9.0.10, atualize para a versão 9.0.10 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2312.109, atualize para a versão 9.1.2312.109 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2308.207, atualize para a versão 9.1.2308.207 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao recurso de pesquisa externa até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 9.2.2 Versões do Splunk Enterprise anteriores à 9.1.5 Versões do Splunk Enterprise anteriores à 9.0.10 **Descrição** A vulnerabilidade permite que um usuário autenticado execute uma consulta especialmente criada, que pode então ser usada para serializar dados não confiáveis, levando potencialmente à execução de código arbitrário. Isso pode ser explorado por um invasor para obter acesso e controle não autorizados. **Recomendações** Para versões anteriores à 9.2.2, atualize para a versão 9.2.2 ou posterior. Para versões anteriores à 9.1.5, atualize para a versão 9.1.5 ou posterior. Para versões anteriores à 9.0.10, atualize para a versão 9.0.10 ou posterior.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.2.2 Versões do Splunk Enterprise anteriores à 9.1.5 Versões do Splunk Enterprise anteriores à 9.0.10 Versões da Splunk Cloud Platform anteriores à 9.1.2312.200 Versões do Splunk Cloud Platform anteriores à 9.1.2308.207 Descrição: O problema está relacionado ao módulo Bulletin Messages na interface Splunk Web da plataforma Splunk Enterprise, que não toma medidas para proteger a estrutura da página da web. Isso poderia permitir que um invasor remoto realizasse ataques de cross-site scripting. Um usuário com privilégios limitados, sem funções de administrador ou de poder no Splunk, poderia criar uma carga maliciosa por meio de uma visualização e das Mensagens de Boletim do Splunk Web, resultando na execução de código JavaScript não autorizado no navegador do usuário. Recomendações: Para versões do Splunk Enterprise anteriores à 9.2.2, atualize para a versão 9.2.2 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.5, atualize para a versão 9.1.5 ou posterior. Para versões do Splunk Enterprise anteriores à 9.0.10, atualize para a versão 9.0.10 ou posterior. Para versões da Splunk Cloud Platform anteriores à 9.1.2312.200, atualize para a versão 9.1.2312.200 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2308.207, atualize para a versão 9.1.2308.207 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao módulo Mensagens do Boletim na interface da Web do Splunk até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Splunk Enterprise para Windows, versões anteriores à 9.0.8 e à 9.1.3 **Descrição** O problema está relacionado à sanitização incorreta dos dados de entrada de caminho, resultando na deserialização insegura de dados não confiáveis provenientes de uma partição de disco separada na máquina. Isso pode afetar a integridade, a disponibilidade e a confidencialidade das informações protegidas. **Recomendações** Para versões anteriores à 9.0.8, atualize para a versão 9.0.8 ou posterior. Para versões anteriores à 9.1.3, atualize para a versão 9.1.3 ou posterior. Como solução temporária, considere restringir o acesso a dados confidenciais e implementar medidas de segurança adicionais para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 8.2.12 Splunk Enterprise versions prior to 9.0.6 Splunk Enterprise versions prior to 9.1.1 **Description** The issue allows an attacker to perform a denial of service (DoS) against the Splunk Enterprise instance by using the `printf` SPL function. **Recommendations** For versions prior to 8.2.12, update to version 8.2.12 or later. For versions prior to 9.0.6, update to version 9.0.6 or later. For versions prior to 9.1.1, update to version 9.1.1 or later.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 8.2.12 Splunk Enterprise versions prior to 9.0.6 Splunk Enterprise versions prior to 9.1.1 **Description** The issue is related to a deserialization mechanism flaw in the Splunk Web interface of Splunk Enterprise, allowing an attacker to execute arbitrary code by sending a specially crafted query. This can be used to serialize untrusted data, leading to code execution. Approximately 12,000 vulnerable public instances have been found. **Recommendations** For versions prior to 8.2.12, update to version 8.2.12 or later. For versions prior to 9.0.6, update to version 9.0.6 or later. For versions prior to 9.1.1, update to version 9.1.1 or later.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 8.2.12 Splunk Enterprise versions prior to 9.0.6 Splunk Enterprise versions prior to 9.1.1 **Description** The issue is related to an absolute path traversal that can be exploited to execute arbitrary code located on a separate disk. It is also associated with incorrect restriction of directory path names in the Splunk Web interface, which can allow an attacker to execute arbitrary code using the runshellscript.py script. **Recommendations** For versions prior to 8.2.12, update to version 8.2.12 or later. For versions prior to 9.0.6, update to version 9.0.6 or later. For versions prior to 9.1.1, update to version 9.1.1 or later.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 9.1.1 Splunk Enterprise versions prior to 9.0.6 Splunk Enterprise versions prior to 8.2.12 **Description** The issue is related to a reflected cross-site scripting (XSS) vulnerability in the Splunk Enterprise platform, specifically affecting the "/app/search/table" web endpoint. An attacker can craft a special web request to exploit this vulnerability, potentially leading to the execution of arbitrary commands on the Splunk platform instance. **Recommendations** For versions prior to 9.1.1, update to version 9.1.1 or later to resolve the issue. For versions prior to 9.0.6, update to version 9.0.6 or later to resolve the issue. For versions prior to 8.2.12, update to version 8.2.12 or later to resolve the issue. As a temporary workaround, consider restricting access to the "/app/search/table" web endpoint until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 8.2.12 Splunk Enterprise versions prior to 9.0.6 Splunk Enterprise versions prior to 9.1.1 **Description** The issue is related to the Splunk Web interface of the Splunk Enterprise platform for operational analysis. It is associated with the failure to clean up data at the management level due to the use of the outdated `runshellscript` command. Exploitation of this issue may allow a remote attacker to execute arbitrary commands. An attacker can create an external lookup that calls a legacy internal function, allowing them to insert code into the Splunk platform installation directory and execute arbitrary code on the Splunk platform instance. **Recommendations** For versions prior to 8.2.12, update to version 8.2.12 or later. For versions prior to 9.0.6, update to version 9.0.6 or later. For versions prior to 9.1.1, update to version 9.1.1 or later.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 9.0.5 Splunk Enterprise versions prior to 8.2.11 Splunk Enterprise versions prior to 8.1.14 **Description** The issue allows a low-privileged user to exploit a vulnerability in the Bootstrap web framework and build a stored cross-site scripting (XSS) payload through a Splunk dashboard view. **Recommendations** For versions prior to 9.0.5, update to version 9.0.5 or later. For versions prior to 8.2.11, update to version 8.2.11 or later. For versions prior to 8.1.14, update to version 8.1.14 or later.