Therceman

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.3.2, 9.2.4 e 9.1.7 Aplicativo Splunk Secure Gateway na Splunk Cloud Platform em versões anteriores à 3.2.462, 3.7.18 e 3.8.5 Descrição: O problema está relacionado a um controle de acesso inadequado nos pontos finais das coleções do Splunk Secure Gateway App Key Value Store (KVstore). Isso poderia permitir que um usuário com privilégios limitados, sem as funções “admin” ou “power” do Splunk, visualizasse respostas de consultas de pesquisa de alertas. A vulnerabilidade pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas devido à proteção insuficiente dos dados do serviço, resultante de um controle de acesso inadequado ao KV Store. Recomendações: Para versões do Splunk Enterprise anteriores à 9.3.2, 9.2.4 e 9.1.7, atualize para a versão 9.3.2, 9.2.4 ou 9.1.7 ou posterior. Para o aplicativo Splunk Secure Gateway nas versões da Splunk Cloud Platform anteriores à 3.2.462, 3.7.18 e 3.8.5, atualize para a versão 3.2.462, 3.7.18 ou 3.8.5 ou posterior. Como solução alternativa temporária, considere restringir o acesso aos endpoints das coleções do KV Store até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 9.3.1 Versões do Splunk Enterprise anteriores à 9.2.3 Versões do Splunk Enterprise anteriores à 9.1.6 Versões da Splunk Cloud Platform anteriores à 9.2.2403.108 Versões do Splunk Cloud Platform anteriores à 9.1.2312.204 **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) no componente Splunk Web do Splunk Enterprise. Essa vulnerabilidade pode ser explorada por um usuário com privilégios limitados que não possua as funções “admin” ou “power” do Splunk, permitindo que ele altere o estado do modo de manutenção do App Key Value Store (KVStore). A exploração pode ser realizada por meio de uma página da web especialmente criada para esse fim. **Recomendações** Para versões do Splunk Enterprise anteriores à 9.3.1, atualize para a versão 9.3.1 ou posterior. Para versões do Splunk Enterprise anteriores à 9.2.3, atualize para a versão 9.2.3 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.6, atualize para a versão 9.1.6 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.2.2403.108, atualize para a versão 9.2.2403.108 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2312.204, atualize para a versão 9.1.2312.204 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao modo de manutenção do KVStore para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Versões 9.1.6, 9.2.3 e 9.3.0 do Splunk Enterprise Descrição: Um usuário com privilégios limitados, sem as funções “admin” ou “power” do Splunk, poderia visualizar imagens na máquina que executa o Splunk Enterprise utilizando o recurso de exportação para PDF nos painéis clássicos do Splunk. As imagens na máquina poderiam ser expostas ao exportar o painel como PDF, utilizando o caminho local da imagem na tag `img` no código XML (Extensible Markup Language) de origem do painel clássico do Splunk. Esta falha está relacionada a um controle de acesso insuficiente no recurso de exportação para PDF. Recomendações: Para a versão 9.1.6, atualize para uma versão mais recente para mitigar o risco. Para a versão 9.2.3, atualize para uma versão mais recente para mitigar o risco. Para a versão 9.3.0, atualize para uma versão mais recente para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao recurso de exportação para PDF nos painéis clássicos do Splunk até que um patch esteja disponível.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.2.2 Versões do Splunk Enterprise anteriores à 9.1.5 Versões do Splunk Enterprise anteriores à 9.0.10 Versões da Splunk Cloud Platform anteriores à 9.1.2312.200 Descrição: O problema está relacionado a um controle de acesso insuficiente no módulo Splunk Web Bulletin Messages da interface Splunk Web no Splunk Enterprise. Isso poderia permitir que um invasor remoto comprometesse a confidencialidade e a integridade de informações protegidas ao enviar notificações especialmente criadas. Um usuário com privilégios limitados, sem funções de administrador ou de poder no Splunk, poderia criar notificações no Splunk Web Bulletin Messages que todos os usuários da instância receberiam. Recomendações: Para versões do Splunk Enterprise anteriores à 9.2.2, atualize para a versão 9.2.2 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.5, atualize para a versão 9.1.5 ou posterior. Para versões do Splunk Enterprise anteriores à 9.0.10, atualize para a versão 9.0.10 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2312.200, atualize para a versão 9.1.2312.200 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao módulo Splunk Web Bulletin Messages para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 9.2.2 Versões do Splunk Enterprise anteriores à 9.1.5 Versões do Splunk Enterprise anteriores à 9.0.10 Versões da Splunk Cloud Platform anteriores à 9.1.2312.200 Versões do Splunk Cloud Platform anteriores à 9.1.2308.207 **Descrição** Um usuário com privilégios limitados, sem funções de administrador ou de poder no Splunk, pode criar uma carga maliciosa por meio das mensagens do Splunk Web Bulletin, o que pode resultar na execução de código JavaScript não autorizado no navegador do usuário. **Recomendações** Para versões do Splunk Enterprise anteriores à 9.2.2, atualize para a versão 9.2.2 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.5, atualize para a versão 9.1.5 ou posterior. Para versões do Splunk Enterprise anteriores à 9.0.10, atualize para a versão 9.0.10 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2312.200, atualize para a versão 9.1.2312.200 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2308.207, atualize para a versão 9.1.2308.207 ou posterior.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.2.2 Versões do Splunk Enterprise anteriores à 9.1.5 Versões do Splunk Enterprise anteriores à 9.0.10 Versões da Splunk Cloud Platform anteriores à 9.2.2403.100 Descrição: O problema está relacionado ao endpoint REST datamodel/web no Splunk Enterprise, onde um usuário autenticado com privilégios limitados poderia enviar uma solicitação HTTP POST especialmente criada, causando potencialmente uma negação de serviço. Isso se deve à execução de um loop sem condição de saída. A exploração dessa vulnerabilidade permite que um invasor remoto cause uma negação de serviço usando uma solicitação HTTP especialmente criada. Recomendações: Para versões do Splunk Enterprise anteriores à 9.2.2, atualize para a versão 9.2.2 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.5, atualize para a versão 9.1.5 ou posterior. Para versões do Splunk Enterprise anteriores à 9.0.10, atualize para a versão 9.0.10 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.2.2403.100, atualize para a versão 9.2.2403.100 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao endpoint REST “datamodel/web” até que um patch esteja disponível.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.2.2 Versões do Splunk Enterprise anteriores à 9.1.5 Versões do Splunk Enterprise anteriores à 9.0.10 Versões da Splunk Cloud Platform anteriores à 9.1.2312.200 Versões da Splunk Cloud Platform anteriores à 9.1.2308.207 Descrição: Um usuário com privilégios limitados, sem funções de administrador ou de poder no Splunk, poderia criar uma carga maliciosa por meio de uma Visualização, resultando potencialmente na execução de código JavaScript não autorizado no navegador do usuário. O problema decorre do fato de o parâmetro `url` do elemento Dashboard não possuir validação de entrada adequada para rejeitar URLs inválidas, o que poderia levar a uma exploração de Cross-site Scripting (XSS) persistente. Recomendações: Para versões do Splunk Enterprise anteriores à 9.2.2, atualize para a versão 9.2.2 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.5, atualize para a versão 9.1.5 ou posterior. Para versões do Splunk Enterprise anteriores à 9.0.10, atualize para a versão 9.0.10 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2312.200, atualize para a versão 9.1.2312.200 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2308.207, atualize para a versão 9.1.2308.207 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao parâmetro `url` do elemento Dashboard para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Versões do Splunk Enterprise anteriores à 9.2.2 Versões do Splunk Enterprise anteriores à 9.1.5 Versões do Splunk Enterprise anteriores à 9.0.10 Versões da Splunk Cloud Platform anteriores à 9.1.2312.200 Versões do Splunk Cloud Platform anteriores à 9.1.2308.207 Descrição: O problema está relacionado à proteção insuficiente dos dados de serviço no módulo Analytics Workspace da interface web do Splunk no Splunk Enterprise. Um usuário autenticado poderia contornar as restrições de segurança e executar comandos arbitrários enviando uma solicitação especialmente criada, mas isso requer induzir um usuário com privilégios superiores a iniciar uma solicitação em seu navegador. Recomendações: Para versões do Splunk Enterprise anteriores à 9.2.2, atualize para a versão 9.2.2 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.5, atualize para a versão 9.1.5 ou posterior. Para versões do Splunk Enterprise anteriores à 9.0.10, atualize para a versão 9.0.10 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2312.200, atualize para a versão 9.1.2312.200 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2308.207, atualize para a versão 9.1.2308.207 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 9.0.8 Versões do Splunk Enterprise anteriores à 9.1.3 **Descrição** O problema está relacionado à validação insuficiente de entradas, permitindo que um invasor remoto obtenha acesso não autorizado a informações protegidas usando o comando SPL `mrollup`. Isso requer a interação de um usuário com privilégios elevados para ser explorado. Um usuário com privilégios reduzidos pode visualizar métricas em um índice para o qual não tem permissão de visualização. **Recomendações** Para versões anteriores à 9.0.8, atualize para a versão 9.0.8 ou posterior para resolver o problema. Para versões anteriores à 9.1.3, atualize para a versão 9.1.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao comando SPL `mrollup` até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 9.0.5 Splunk Enterprise versions prior to 8.2.11 Splunk Enterprise versions prior to 8.1.14 Splunk Cloud Platform versions prior to 9.0.2303.100 **Description** A low-privileged user can perform an unauthorized transfer of data from a search using the `copyresults` command if they know the search ID (SID) of a search job that has recently run. **Recommendations** For Splunk Enterprise versions prior to 9.0.5, update to version 9.0.5 or later. For Splunk Enterprise versions prior to 8.2.11, update to version 8.2.11 or later. For Splunk Enterprise versions prior to 8.1.14, update to version 8.1.14 or later. For Splunk Cloud Platform versions prior to 9.0.2303.100, update to version 9.0.2303.100 or later.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 9.0.5 Splunk Enterprise versions prior to 8.2.11 Splunk Enterprise versions prior to 8.1.14 Splunk Cloud Platform versions prior to 9.0.2303.100 **Description** A low-privileged user with the `user` role can access the hashed version of the initial user name and password for the Splunk instance. This is achieved by using the `rest` SPL command against the "conf-user-seed" REST endpoint. **Recommendations** For Splunk Enterprise versions prior to 9.0.5, update to version 9.0.5 or later. For Splunk Enterprise versions prior to 8.2.11, update to version 8.2.11 or later. For Splunk Enterprise versions prior to 8.1.14, update to version 8.1.14 or later. For Splunk Cloud Platform versions prior to 9.0.2303.100, update to version 9.0.2303.100 or later. As a temporary workaround, consider restricting access to the "conf-user-seed" REST endpoint for low-privileged users until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 8.1.13 Splunk Enterprise versions prior to 8.2.10 Splunk Enterprise versions prior to 9.0.4 **Description** The issue allows a search to bypass safeguards for risky commands using the `display.page.search.patterns.sensitivity` search parameter. This requires a higher privileged user to initiate a request within their browser and only affects instances with Splunk Web enabled. **Recommendations** For versions prior to 8.1.13, update to version 8.1.13 or later. For versions prior to 8.2.10, update to version 8.2.10 or later. For versions prior to 9.0.4, update to version 9.0.4 or later.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 8.1.13 Splunk Enterprise versions prior to 8.2.10 Splunk Enterprise versions prior to 9.0.4 **Description** The issue allows a search to bypass safeguards for risky commands using the `pivot` search processing language (SPL) command and a saved search job. This requires an authenticated user to craft the saved job and a higher privileged user to initiate a request within their browser. The vulnerability affects instances with Splunk Web enabled. **Recommendations** For versions prior to 8.1.13, update to version 8.1.13 or later. For versions prior to 8.2.10, update to version 8.2.10 or later. For versions prior to 9.0.4, update to version 9.0.4 or later.

**Name of the Vulnerable Software and Affected Versions** Splunk Enterprise versions prior to 8.1.13 Splunk Enterprise versions prior to 8.2.10 Splunk Enterprise versions prior to 9.0.4 **Description** A cross-site request forgery in the Splunk Secure Gateway (SSG) app in the 'kvstore client' REST endpoint allows a potential attacker to update SSG KV store collections using an HTTP GET request. The vulnerability affects instances with SSG and Splunk Web enabled. **Recommendations** For versions prior to 8.1.13, update to version 8.1.13 or later. For versions prior to 8.2.10, update to version 8.2.10 or later. For versions prior to 9.0.4, update to version 9.0.4 or later.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 8.2.9 Versões do Splunk Enterprise anteriores à 8.1.12 Versões do Splunk Enterprise anteriores à 9.0.2 **Descrição** A vulnerabilidade permite que um usuário autenticado execute comandos perigosos usando as permissões de um usuário com privilégios superiores, contornando as proteções do SPL para comandos perigosos no Analytics Workspace. Isso pode ser feito induzindo a vítima a iniciar uma solicitação em seu navegador, efetivamente realizando um ataque de phishing. O invasor não pode explorar essa vulnerabilidade à vontade, pois é necessária a interação da vítima. **Recomendações** Para versões anteriores à 8.2.9, atualize para a versão 8.2.9 ou posterior. Para versões anteriores à 8.1.12, atualize para a versão 8.1.12 ou posterior. Para versões anteriores à 9.0.2, atualize para a versão 9.0.2 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Splunk Enterprise anteriores à 9.0 **Descrição** A vulnerabilidade permite que um invasor insira comandos de pesquisa de risco em um token de formulário quando esse token é utilizado em uma consulta dentro de uma solicitação entre domínios, contornando as proteções do SPL contra comandos de risco. Trata-se de um ataque baseado em navegador e não pode ser explorado à vontade. **Recomendações** Para versões anteriores à 9.0, atualize para a versão 9.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere limitar o acesso a comandos personalizados e potencialmente perigosos usando os novos recursos fornecidos na versão 9.0.