M Mahdan Argya Syarif

**Nome do Software Vulnerável e Versões Afetadas** Splunk Enterprise versões anteriores a 10.2.4 Splunk Enterprise versões anteriores a 10.0.7 Splunk Enterprise versões anteriores a 9.4.12 Splunk Enterprise versões anteriores a 9.3.13 Splunk Cloud Platform versões anteriores a 10.3.2512.12 Splunk Cloud Platform versões anteriores a 10.2.2510.14 Splunk Cloud Platform versões anteriores a 10.1.2507.22 Splunk Cloud Platform versões anteriores a 9.3.2411.132 Splunk Secure Gateway versões anteriores a 3.10.6 Splunk Secure Gateway versões anteriores a 3.9.20 Splunk Secure Gateway versões anteriores a 3.8.67 **Description** Um usuário com baixos privilégios que não possua as funções 'admin' ou 'power' pode realizar a Execução Remota de Código (RCE) através do aplicativo Splunk Secure Gateway. Isso ocorre devido à desserialização insegura de dados do App Key Value Store (KV Store) por meio da biblioteca Python `jsonpickle`, que reconstrói objetos Python arbitrários a partir de JSON especialmente manipulados sem a validação adequada. **Recommendations** Atualize o Splunk Enterprise para as versões 10.2.4, 10.0.7, 9.4.12 ou 9.3.13, dependendo da trilha de lançamento atual. Atualize o Splunk Cloud Platform para as versões 10.3.2512.12, 10.2.2510.14, 10.1.2507.22 ou 9.3.2411.132, dependendo da trilha de lançamento atual. Atualize o Splunk Secure Gateway para as versões 3.10.6, 3.9.20 ou 3.8.67, dependendo da trilha de lançamento atual.

**Nome do Software Vulnerável e Versões Afetadas** Splunk Enterprise versões anteriores a 10.2.4 Splunk Enterprise versões anteriores a 10.0.7 Splunk Enterprise versões anteriores a 9.4.12 Splunk Enterprise versões anteriores a 9.3.13 Splunk Cloud Platform versões anteriores a 10.4.2604.3 Splunk Cloud Platform versões anteriores a 10.3.2512.12 Splunk Cloud Platform versões anteriores a 10.2.2510.14 Splunk Cloud Platform versões anteriores a 10.1.2507.22 Splunk Cloud Platform versões anteriores a 9.3.2411.132 **Description** Um usuário com baixos privilégios que não possua as funções "admin" ou "power" pode enviar solicitações do lado do servidor para destinos internos arbitrários através do recurso de exportação de PDF do Dashboard Studio. Isso ocorre porque a validação de domínio confiável utiliza uma correspondência de prefixo que pode ser burlada com subdomínios controlados por um invasor. Além disso, o serviço de exportação de PDF segue redirecionamentos HTTP automaticamente sem revalidar cada destino de redirecionamento contra a lista de permissões. **Recommendations** Atualizar para a versão 10.2.4 ou superior. Atualizar para a versão 10.0.7 ou superior. Atualizar para a versão 9.4.12 ou superior. Atualizar para a versão 9.3.13 ou superior. Atualizar para a versão 10.4.2604.3 ou superior. Atualizar para a versão 10.3.2512.12 ou superior. Atualizar para a versão 10.2.2510.14 ou superior. Atualizar para a versão 10.1.2507.22 ou superior. Atualizar para a versão 9.3.2411.132 ou superior.