CVE-2024-45736

Nome do software vulnerável e versões afetadas:

Versões do Splunk Enterprise anteriores à 9.3.1

Versões do Splunk Enterprise anteriores à 9.2.3

Versões do Splunk Enterprise anteriores à 9.1.6

Versões da Splunk Cloud Platform anteriores à 9.2.2403.107

Versões do Splunk Cloud Platform anteriores à 9.1.2312.204

Versões do Splunk Cloud Platform anteriores à 9.1.2312.111

Descrição:

Um usuário com privilégios limitados, sem as funções “admin” ou “power” do Splunk, poderia criar uma consulta de pesquisa com um parâmetro INGEST EVAL formatado incorretamente como parte de uma transformação de campo, o que poderia causar a falha do daemon do Splunk (splunkd), resultando em uma negação de serviço. Esse problema está relacionado a um consumo descontrolado de recursos devido ao parâmetro INGEST EVAL formatado incorretamente.

Recomendações:

Para versões do Splunk Enterprise anteriores à 9.3.1, atualize para a versão 9.3.1 ou posterior.

Para versões do Splunk Enterprise anteriores à 9.2.3, atualize para a versão 9.2.3 ou posterior.

Para versões do Splunk Enterprise anteriores à 9.1.6, atualize para a versão 9.1.6 ou posterior.

Para versões do Splunk Cloud Platform anteriores à 9.2.2403.107, atualize para a versão 9.2.2403.107 ou posterior.

Para versões do Splunk Cloud Platform anteriores à 9.1.2312.204, atualize para a versão 9.1.2312.204 ou posterior.

Para versões do Splunk Cloud Platform anteriores à 9.1.2312.111, atualize para a versão 9.1.2312.111 ou posterior.

Como solução alternativa temporária, considere restringir o acesso ao parâmetro INGEST EVAL em Transformações de campo para minimizar o risco de exploração.