Gabriel Nitu

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 10.2.0, 10.0.4, 9.4.9, and 9.3.10 Splunk Cloud Platform versions prior to 10.2.2510.5, 10.0.2503.12, 10.1.2507.16, and 9.3.2411.124 **Description** A user with a role containing the `edit cmd` capability can execute arbitrary shell commands. This is possible through the `unarchive cmd` parameter of the `/splunkd/ upload/indexing/preview` REST endpoint. The issue stems from inadequate input sanitization, allowing for remote command execution. **Recommendations** Update Splunk Enterprise to version 10.2.0 or later. Update Splunk Cloud Platform to version 10.2.2510.5 or later. Remove the `edit cmd` capability from user roles if an immediate update is not possible.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Splunk Enterprise anteriores à 9.4.1 Versões do Splunk Enterprise anteriores à 9.3.3 Versões do Splunk Enterprise anteriores à 9.2.5 Versões do Splunk Enterprise anteriores à 9.1.8 Versões do aplicativo Splunk Secure Gateway na Splunk Cloud Platform anteriores à 3.8.38 Versões do aplicativo Splunk Secure Gateway na Splunk Cloud Platform anteriores à 3.7.23 **Descrição** Um usuário com baixos privilégios, sem as funções Splunk `admin` ou `power`, poderia editar e excluir dados de outros usuários nas coleções do App Key Value Store (KVStore) criadas pelo aplicativo Splunk Secure Gateway. Este problema ocorre devido à falta de controle de acesso e à propriedade incorreta dos dados nessas coleções do KVStore, onde o usuário `nobody` era o proprietário dos dados. **Recomendações** Para versões do Splunk Enterprise anteriores à 9.4.1, atualize para a versão 9.4.1 ou posterior. Para versões do Splunk Enterprise anteriores à 9.3.3, atualize para a versão 9.3.3 ou posterior. Para versões do Splunk Enterprise anteriores à 9.2.5, atualize para a versão 9.2.5 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.8, atualize para a versão 9.1.8 ou posterior. Para versões do aplicativo Splunk Secure Gateway na Splunk Cloud Platform anteriores à 3.8.38, atualize para a versão 3.8.38 ou posterior. Para versões do aplicativo Splunk Secure Gateway na Splunk Cloud Platform anteriores à 3.7.23, atualize para a versão 3.7.23 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Splunk App for SOAR versions 1.0.67 and lower **Description** The issue is related to improper access control. In the affected versions of the Splunk App for SOAR, the documentation recommended adding the `admin all objects` capability to the `splunk app soar` role. This could lead to improper access control for a low-privileged user that does not hold the "admin" Splunk roles. **Recommendations** For versions 1.0.67 and lower, remove the `admin all objects` capability from the `splunk app soar` role to prevent improper access control. As a temporary workaround, consider restricting the `splunk app soar` role to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 9.2.3 Versões do Splunk Enterprise anteriores à 9.1.6 Versões do Splunk Secure Gateway na Splunk Cloud Platform anteriores à 3.4.259 Versões do Splunk Secure Gateway nas versões da Splunk Cloud Platform anteriores à 3.6.17 Versões do Splunk Secure Gateway nas versões da Splunk Cloud Platform anteriores à 3.7.0 **Descrição** O problema está relacionado ao controle de acesso insuficiente ao Key Value Store (KV Store) no componente Splunk Secure Gateway da plataforma Splunk Enterprise para análise operacional. Isso pode permitir que um usuário com privilégios limitados, sem as funções “admin” ou “power” do Splunk, visualize a configuração de implantação do App Key Value Store e as chaves públicas/privadas no aplicativo Splunk Secure Gateway. Um invasor poderia explorar isso para excluir remotamente dados do KV Store. **Recomendações** Para versões do Splunk Enterprise anteriores à 9.2.3, atualize para a versão 9.2.3 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.6, atualize para a versão 9.1.6 ou posterior. Para versões do Splunk Secure Gateway na Splunk Cloud Platform anteriores à 3.4.259, atualize para a versão 3.4.259 ou posterior. Para versões do Splunk Secure Gateway em versões da Splunk Cloud Platform anteriores à 3.6.17, atualize para a versão 3.6.17 ou posterior. Para versões do Splunk Secure Gateway em versões da Splunk Cloud Platform anteriores à 3.7.0, atualize para a versão 3.7.0 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao KV Store para minimizar o risco de explora