Уязвимость компонента Splunk Web платформы для операционного анализа Splunk Enterprise связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём записи файла в корневой каталог системы Windows
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение Splunk Web;
- ограничение доступа пользователей Splunk к системным директориям операционной системы Windows;
- минимизация привилегий пользователя Splunk на хостовой операционной системе Windows.
Использование рекомендаций:
https://advisory.splunk.com/advisories/SVD-2024-1003
https://research.splunk.com/application/c97e0704-d9c6-454d-89ba-1510a987bf72/
| Балл | 9 — высокая опасность |