CVE-2024-53247

Nome do software vulnerável e versões afetadas:

Versões do Splunk Enterprise anteriores à 9.3.2

Versões do Splunk Enterprise anteriores à 9.2.4

Versões do Splunk Enterprise anteriores à 9.1.7

Versões do aplicativo Splunk Secure Gateway anteriores à 3.4.261

Versões do aplicativo Splunk Secure Gateway anteriores à 3.7.13

Descrição:

O problema está relacionado à possibilidade de um usuário com privilégios limitados realizar Execução Remota de Código (RCE) devido a mecanismos de desserialização insuficientes no aplicativo Splunk Secure Gateway. Isso pode ser explorado através do upload de um arquivo JSON especialmente criado e processado pela biblioteca Python jsonpickle, permitindo que um invasor execute código arbitrário remotamente. Mais de 145.000 resultados foram encontrados usando o ZoomEye Dork “app=Splunk Enterprise”, indicando um grande número de dispositivos potencialmente afetados.

Recomendações:

Para versões do Splunk Enterprise anteriores à 9.3.2, atualize para a versão 9.3.2 ou posterior.

Para versões do Splunk Enterprise anteriores à 9.2.4, atualize para a versão 9.2.4 ou posterior.

Para versões do Splunk Enterprise anteriores à 9.1.7, atualize para a versão 9.1.7 ou posterior.

Para versões do aplicativo Splunk Secure Gateway anteriores à 3.4.261, atualize para a versão 3.4.261 ou posterior.

Para versões do aplicativo Splunk Secure Gateway anteriores à 3.7.13, atualize para a versão 3.7.13 ou posterior.

Como solução alternativa temporária, considere desativar a biblioteca jsonpickle até que um patch esteja disponível.

Restrinja o acesso ao aplicativo Splunk Secure Gateway para minimizar o risco de exploração.