Ddv_Ua

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 10.2.0, 10.0.4, 9.4.9, and 9.3.10 Splunk Cloud Platform versions prior to 10.2.2510.5, 10.0.2503.12, 10.1.2507.16, and 9.3.2411.124 **Description** A user with a role containing the `edit cmd` capability can execute arbitrary shell commands. This is possible through the `unarchive cmd` parameter of the `/splunkd/ upload/indexing/preview` REST endpoint. The issue stems from inadequate input sanitization, allowing for remote command execution. **Recommendations** Update Splunk Enterprise to version 10.2.0 or later. Update Splunk Cloud Platform to version 10.2.2510.5 or later. Remove the `edit cmd` capability from user roles if an immediate update is not possible.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.3.2 Versões do Splunk Enterprise anteriores à 9.2.4 Versões do Splunk Enterprise anteriores à 9.1.7 Versões do aplicativo Splunk Secure Gateway anteriores à 3.4.261 Versões do aplicativo Splunk Secure Gateway anteriores à 3.7.13 Descrição: O problema está relacionado à possibilidade de um usuário com privilégios limitados realizar Execução Remota de Código (RCE) devido a mecanismos de desserialização insuficientes no aplicativo Splunk Secure Gateway. Isso pode ser explorado através do upload de um arquivo JSON especialmente criado e processado pela biblioteca Python jsonpickle, permitindo que um invasor execute código arbitrário remotamente. Mais de 145.000 resultados foram encontrados usando o ZoomEye Dork “app=Splunk Enterprise”, indicando um grande número de dispositivos potencialmente afetados. Recomendações: Para versões do Splunk Enterprise anteriores à 9.3.2, atualize para a versão 9.3.2 ou posterior. Para versões do Splunk Enterprise anteriores à 9.2.4, atualize para a versão 9.2.4 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.7, atualize para a versão 9.1.7 ou posterior. Para versões do aplicativo Splunk Secure Gateway anteriores à 3.4.261, atualize para a versão 3.4.261 ou posterior. Para versões do aplicativo Splunk Secure Gateway anteriores à 3.7.13, atualize para a versão 3.7.13 ou posterior. Como solução alternativa temporária, considere desativar a biblioteca jsonpickle até que um patch esteja disponível. Restrinja o acesso ao aplicativo Splunk Secure Gateway para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 9.2.3 e à 9.1.6 Versões da Splunk Cloud Platform anteriores à 9.2.2403.108 e à 9.1.2312.205 **Descrição** Um usuário com privilégios limitados, sem as funções “admin” ou ‘power’ do Splunk, poderia criar uma carga maliciosa por meio de um arquivo de configuração personalizado que o parâmetro `api.uri` do endpoint “/manager/search/apps/local” no Splunk Web chama. Isso poderia resultar na execução de código JavaScript não autorizado no navegador de um usuário, levando potencialmente a ataques de cross-site scripting (XSS). **Recomendações** Para versões do Splunk Enterprise anteriores à 9.2.3 e 9.1.6, atualize para a versão 9.2.3 ou 9.1.6 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.2.2403.108 e 9.1.2312.205, atualize para a versão 9.2.2403.108 ou 9.1.2312.205 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao endpoint “/manager/search/apps/local” no Splunk Web para minimizar o risco de exploração. Evite usar o parâmetro `api.uri` no endpoint afetado até que o problema seja resolvido.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.3.1 Versões do Splunk Enterprise anteriores à 9.2.3 Versões do Splunk Enterprise anteriores à 9.1.6 Versões da Splunk Cloud Platform anteriores à 9.2.2403.107 Versões do Splunk Cloud Platform anteriores à 9.1.2312.204 Versões do Splunk Cloud Platform anteriores à 9.1.2312.111 Descrição: Um usuário com privilégios limitados, sem as funções “admin” ou “power” do Splunk, poderia criar uma consulta de pesquisa com um parâmetro `INGEST EVAL` formatado incorretamente como parte de uma transformação de campo, o que poderia causar a falha do daemon do Splunk (splunkd), resultando em uma negação de serviço. Esse problema está relacionado a um consumo descontrolado de recursos devido ao parâmetro `INGEST EVAL` formatado incorretamente. Recomendações: Para versões do Splunk Enterprise anteriores à 9.3.1, atualize para a versão 9.3.1 ou posterior. Para versões do Splunk Enterprise anteriores à 9.2.3, atualize para a versão 9.2.3 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.6, atualize para a versão 9.1.6 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.2.2403.107, atualize para a versão 9.2.2403.107 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2312.204, atualize para a versão 9.1.2312.204 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2312.111, atualize para a versão 9.1.2312.111 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao parâmetro `INGEST EVAL` em Transformações de campo para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 9.2.2 Versões do Splunk Enterprise anteriores à 9.1.5 Versões do Splunk Enterprise anteriores à 9.0.10 **Descrição** A vulnerabilidade permite que um usuário autenticado execute uma consulta especialmente criada, que pode então ser usada para serializar dados não confiáveis, levando potencialmente à execução de código arbitrário. Isso pode ser explorado por um invasor para obter acesso e controle não autorizados. **Recomendações** Para versões anteriores à 9.2.2, atualize para a versão 9.2.2 ou posterior. Para versões anteriores à 9.1.5, atualize para a versão 9.1.5 ou posterior. Para versões anteriores à 9.0.10, atualize para a versão 9.0.10 ou posterior.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.2.2 Versões do Splunk Enterprise anteriores à 9.1.5 Versões do Splunk Enterprise anteriores à 9.0.10 Versões da Splunk Cloud Platform anteriores à 9.1.2312.109 Versões da Splunk Cloud Platform anteriores à 9.1.2308.207 Descrição: O problema está relacionado à tecnologia de pesquisa externa no Splunk Enterprise, que pode ser explorada por um usuário autenticado para criar uma pesquisa externa que chama uma função interna legada. Essa função pode ser usada para inserir código no diretório de instalação da plataforma Splunk, permitindo que o usuário execute código arbitrário na instância da plataforma Splunk. A vulnerabilidade está associada à neutralização incorreta de elementos especiais usados no comando do sistema operacional. Recomendações: Para versões do Splunk Enterprise anteriores à 9.2.2, atualize para a versão 9.2.2 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.5, atualize para a versão 9.1.5 ou posterior. Para versões do Splunk Enterprise anteriores à 9.0.10, atualize para a versão 9.0.10 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2312.109, atualize para a versão 9.1.2312.109 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2308.207, atualize para a versão 9.1.2308.207 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao recurso de pesquisa externa até que um patch seja aplicado.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.2.2 Versões do Splunk Enterprise anteriores à 9.1.5 Versões do Splunk Enterprise anteriores à 9.0.10 Descrição: O problema está relacionado a uma vulnerabilidade de traversal de caminho no Splunk Enterprise no Windows, que poderia permitir que um invasor realizasse um traversal de caminho no endpoint “/modules/messaging/”. Essa vulnerabilidade deve afetar apenas o Splunk Enterprise no Windows. O número estimado de dispositivos potencialmente afetados em todo o mundo é de cerca de 257.400 serviços. A vulnerabilidade pode ser explorada para ler arquivos confidenciais, como o arquivo passwd do Splunk. Recomendações: Para versões anteriores à 9.2.2, atualize para a versão 9.2.2 ou posterior. Para versões anteriores à 9.1.5, atualize para a versão 9.1.5 ou posterior. Para versões anteriores à 9.0.10, atualize para a versão 9.0.10 ou posterior. Como solução temporária, considere restringir o acesso ao endpoint “/modules/messaging/” até que um patch esteja disponível.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.2.2 Versões do Splunk Enterprise anteriores à 9.1.5 Versões do Splunk Enterprise anteriores à 9.0.10 Versões da Splunk Cloud Platform anteriores à 9.1.2312.200 Versões do Splunk Cloud Platform anteriores à 9.1.2308.207 Descrição: O problema está relacionado ao módulo Bulletin Messages na interface Splunk Web da plataforma Splunk Enterprise, que não toma medidas para proteger a estrutura da página da web. Isso poderia permitir que um invasor remoto realizasse ataques de cross-site scripting. Um usuário com privilégios limitados, sem funções de administrador ou de poder no Splunk, poderia criar uma carga maliciosa por meio de uma visualização e das Mensagens de Boletim do Splunk Web, resultando na execução de código JavaScript não autorizado no navegador do usuário. Recomendações: Para versões do Splunk Enterprise anteriores à 9.2.2, atualize para a versão 9.2.2 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.5, atualize para a versão 9.1.5 ou posterior. Para versões do Splunk Enterprise anteriores à 9.0.10, atualize para a versão 9.0.10 ou posterior. Para versões da Splunk Cloud Platform anteriores à 9.1.2312.200, atualize para a versão 9.1.2312.200 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2308.207, atualize para a versão 9.1.2308.207 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao módulo Mensagens do Boletim na interface da Web do Splunk até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Splunk Enterprise para Windows, versões anteriores à 9.0.8 e à 9.1.3 **Descrição** O problema está relacionado à sanitização incorreta dos dados de entrada de caminho, resultando na deserialização insegura de dados não confiáveis provenientes de uma partição de disco separada na máquina. Isso pode afetar a integridade, a disponibilidade e a confidencialidade das informações protegidas. **Recomendações** Para versões anteriores à 9.0.8, atualize para a versão 9.0.8 ou posterior. Para versões anteriores à 9.1.3, atualize para a versão 9.1.3 ou posterior. Como solução temporária, considere restringir o acesso a dados confidenciais e implementar medidas de segurança adicionais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Confluence Data Center e Server, versões 7.13.0 a 7.19.17 Confluence Data Center e Server, versões 8.5.0 a 8.5.4 Confluence Data Center e Server, versões 8.7.0 a 8.7.1 **Descrição** Trata-se de uma vulnerabilidade de execução remota de código (RCE) de gravidade alta que permite que um invasor não autenticado exponha ativos no ambiente suscetíveis a exploração, com alto impacto na confidencialidade e nenhum impacto na integridade ou disponibilidade. A vulnerabilidade está relacionada à validação insuficiente de entradas. **Recomendações** Para o Confluence Data Center e Server 7.19: atualize para a versão 7.19.18 ou qualquer versão 7.19.x superior Para o Confluence Data Center e Server 8.5: atualize para a versão 8.5.5 ou qualquer versão 8.5.x superior Para o Confluence Data Center e Server 8.7: atualize para a versão 8.7.2 ou qualquer versão superior

**Nome do software vulnerável e versões afetadas** Confluence Data Center e Server, versões 2.1.0 a 7.19.17 Confluence Data Center e Server, versões 8.5.0 a 8.5.4 Confluence Data Center e Server, versões 8.7.0 a 8.7.1 **Descrição** Este problema é uma vulnerabilidade de execução remota de código (RCE) que permite que um invasor não autenticado exponha remotamente ativos no ambiente, suscetíveis a exploração. Ela tem alto impacto na confidencialidade, integridade e disponibilidade e requer interação do usuário. A vulnerabilidade está relacionada à validação insuficiente de entradas. **Recomendações** Para o Confluence Data Center e Server 7.19: atualize para a versão 7.19.18 ou qualquer versão 7.19.x superior Para o Confluence Data Center e Server 8.5: atualize para a versão 8.5.5 ou qualquer versão 8.5.x superior Para o Confluence Data Center e Server 8.7: atualize para a versão 8.7.2 ou qualquer versão superior

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 8.2.12 Splunk Enterprise versions prior to 9.0.6 Splunk Enterprise versions prior to 9.1.1 **Description** The issue allows an attacker to perform a denial of service (DoS) against the Splunk Enterprise instance by using the `printf` SPL function. **Recommendations** For versions prior to 8.2.12, update to version 8.2.12 or later. For versions prior to 9.0.6, update to version 9.0.6 or later. For versions prior to 9.1.1, update to version 9.1.1 or later.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 9.1.1 Splunk Enterprise versions prior to 9.0.6 Splunk Enterprise versions prior to 8.2.12 **Description** The issue is related to a reflected cross-site scripting (XSS) vulnerability in the Splunk Enterprise platform, specifically affecting the "/app/search/table" web endpoint. An attacker can craft a special web request to exploit this vulnerability, potentially leading to the execution of arbitrary commands on the Splunk platform instance. **Recommendations** For versions prior to 9.1.1, update to version 9.1.1 or later to resolve the issue. For versions prior to 9.0.6, update to version 9.0.6 or later to resolve the issue. For versions prior to 8.2.12, update to version 8.2.12 or later to resolve the issue. As a temporary workaround, consider restricting access to the "/app/search/table" web endpoint until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 8.2.12 Splunk Enterprise versions prior to 9.0.6 Splunk Enterprise versions prior to 9.1.1 **Description** The issue is related to an absolute path traversal that can be exploited to execute arbitrary code located on a separate disk. It is also associated with incorrect restriction of directory path names in the Splunk Web interface, which can allow an attacker to execute arbitrary code using the runshellscript.py script. **Recommendations** For versions prior to 8.2.12, update to version 8.2.12 or later. For versions prior to 9.0.6, update to version 9.0.6 or later. For versions prior to 9.1.1, update to version 9.1.1 or later.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 8.2.12 Splunk Enterprise versions prior to 9.0.6 Splunk Enterprise versions prior to 9.1.1 **Description** The issue is related to the Splunk Web interface of the Splunk Enterprise platform for operational analysis. It is associated with the failure to clean up data at the management level due to the use of the outdated `runshellscript` command. Exploitation of this issue may allow a remote attacker to execute arbitrary commands. An attacker can create an external lookup that calls a legacy internal function, allowing them to insert code into the Splunk platform installation directory and execute arbitrary code on the Splunk platform instance. **Recommendations** For versions prior to 8.2.12, update to version 8.2.12 or later. For versions prior to 9.0.6, update to version 9.0.6 or later. For versions prior to 9.1.1, update to version 9.1.1 or later.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 8.2.12 Splunk Enterprise versions prior to 9.0.6 Splunk Enterprise versions prior to 9.1.1 **Description** The issue is related to a deserialization mechanism flaw in the Splunk Web interface of Splunk Enterprise, allowing an attacker to execute arbitrary code by sending a specially crafted query. This can be used to serialize untrusted data, leading to code execution. Approximately 12,000 vulnerable public instances have been found. **Recommendations** For versions prior to 8.2.12, update to version 8.2.12 or later. For versions prior to 9.0.6, update to version 9.0.6 or later. For versions prior to 9.1.1, update to version 9.1.1 or later.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 9.0.5 Splunk Enterprise versions prior to 8.2.11 Splunk Enterprise versions prior to 8.1.14 **Description** The issue allows a low-privileged user to exploit a vulnerability in the Bootstrap web framework and build a stored cross-site scripting (XSS) payload through a Splunk dashboard view. **Recommendations** For versions prior to 9.0.5, update to version 9.0.5 or later. For versions prior to 8.2.11, update to version 8.2.11 or later. For versions prior to 8.1.14, update to version 8.1.14 or later.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 9.0.5 Splunk Enterprise versions prior to 8.2.11 Splunk Enterprise versions prior to 8.1.14 Splunk Cloud Platform versions prior to 9.0.2303.100 **Description** A low-privileged user can trigger an HTTP response splitting issue with the `rest` SPL command, potentially allowing them to access other REST endpoints in the system arbitrarily. **Recommendations** For Splunk Enterprise versions prior to 9.0.5, update to version 9.0.5 or later. For Splunk Enterprise versions prior to 8.2.11, update to version 8.2.11 or later. For Splunk Enterprise versions prior to 8.1.14, update to version 8.1.14 or later. For Splunk Cloud Platform versions prior to 9.0.2303.100, update to version 9.0.2303.100 or later.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 9.0.5 Splunk Enterprise versions prior to 8.2.11 Splunk Enterprise versions prior to 8.1.14 Splunk Cloud Platform versions prior to 9.0.2303.100 **Description** The issue is related to insufficient exception handling in the Splunk Enterprise platform for operational analysis. Exploitation of this issue can allow a remote attacker to cause a denial of service using the `dump` SPL command. This can lead to the Splunk daemon crashing. **Recommendations** For Splunk Enterprise versions prior to 9.0.5, update to version 9.0.5 or later. For Splunk Enterprise versions prior to 8.2.11, update to version 8.2.11 or later. For Splunk Enterprise versions prior to 8.1.14, update to version 8.1.14 or later. For Splunk Cloud Platform versions prior to 9.0.2303.100, update to version 9.0.2303.100 or later. As a temporary workaround, consider restricting access to the `dump` SPL command to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 8.1.13 Splunk Enterprise versions prior to 8.2.10 Splunk Enterprise versions prior to 9.0.4 **Description** The issue allows for Cross-Site Scripting (XSS) in an extensible mark-up language (XML) View through the `layoutPanel` attribute in the `module` tag. This affects instances with Splunk Web enabled. **Recommendations** For versions prior to 8.1.13, update to version 8.1.13 or later. For versions prior to 8.2.10, update to version 8.2.10 or later. For versions prior to 9.0.4, update to version 9.0.4 or later.