Splunk Enterprise ve Cloud’da bir saldırganın etkilenen sistemde rastgele kod çalıştırmasına olanak tanıyan kritik bir güvenlik açığı bulundu.
CVE: CVE-2023-46214
CVSS Puanı: 8.0
Splunk Enterprise ve Splunk Cloud, Splunk veri analizi platformunun iki farklı versiyonudur. Splunk Enterprise, kullanıcıların dağıtıp yönettiği şirket içi bir çözümdür; Splunk Cloud ise Splunk’un yönettiği bulut tabanlı bir çözümdür.
CVE-2023-46214 RCE güvenlik açığı, kimliği doğrulanmış uzak bir saldırganın Splunk Enterprise ve Cloud’da rastgele kod yürütmesine olanak tanır. Bu güvenlik açığı, Splunk yazılımında, kullanıcı tarafından uygulanan genişletilebilir stil sayfası dili dönüşümlerinin (XSLT) uygun olmayan şekilde doğrulanması nedeniyle ortaya çıkar. Saldırgan, kötü amaçlı XSLT’ler yükleyerek bu güvenlik açığından yararlanarak etkilenen sistemin kontrolünü ele geçirebilir.
XSLT, XML tabanlı ve XML dokümanlarını dönüştürmek için kullanılan bir dildir.
Splunk Enterprise’da XSLT kullanılan bazı yerler şunlardır:
Dashboardlar oluşturmak: XSLT, XML dashboardların görünümünü ve işlevselliğini özelleştirmek için kullanılabilir.
Raporlar oluşturmak: XSLT, XML raporların görünümünü ve işlevselliğini özelleştirmek için kullanılabilir.
Verileri analiz etmek: XSLT, XML verilerini analiz etmek ve raporlamak için kullanılabilir. Örneğin, XSLT, XML verilerinden grafikler ve tablolar oluşturmak için kullanılabilir.
Verileri dönüştürmek: XSLT, XML verilerini bir formattan diğerine dönüştürmek için kullanılabilir. Örneğin, XSLT, XML verilerini HTML, PDF veya CSV formatına dönüştürmek için kullanılabilir.
Etkilenen Sürümler ve Çözümler
Ürün | Sürüm | Bileşen | Etkilenen Sürüm | Sabit Sürüm |
Splunk Enterprise | 9.0 | Splunk Web | 9.0.0 ila 9.0.6 | 9.0.7 |
Splunk Enterprise | 9.1 | Splunk Web | 9.1.0 ila 9.1.1 | 9.1.2 |
Splunk Cloud | – | Splunk Web | 9.1.2308’in altındaki sürümler | 9.1.2308 |
Referanslar
https://advisory.splunk.com/advisories/SVD-2023-1104
https://www.tenable.com/cve/CVE-2023-46214