Uma vulnerabilidade recentemente corrigida, identificada como CVE-2024-36991, está afetando o Splunk Enterprise no Windows e revelou-se mais grave do que inicialmente se pensava, segundo os pesquisadores de ameaças da SonicWall. O Splunk Enterprise é uma plataforma de análise e monitoramento de dados que permite às organizações coletar e analisar dados gerados por máquinas de várias fontes, como dispositivos de rede e segurança, servidores e outros.

A CVE-2024-36991, descoberta por Danylo Dmytriiev, é uma vulnerabilidade de travessia de diretório no Splunk Web, a interface do usuário da plataforma, que permite que atacantes atravessem o sistema de arquivos para acessar arquivos ou diretórios fora do diretório restrito (/modules/messaging/). Os pesquisadores da SonicWall explicaram que a vulnerabilidade existe devido à função Python os.path.join, que remove a letra da unidade dos tokens de caminho se a unidade no token corresponder à unidade no caminho construído. Essa falha pode ser explorada com uma solicitação GET especialmente criada, permitindo que um atacante realize uma listagem de diretórios no endpoint do Splunk.

A exploração bem-sucedida não requer autenticação prévia. Para isso, um atacante só precisa ser capaz de acessar a instância remotamente, seja pela Internet ou por uma rede local. A CVE-2024-36991 afeta as versões do Splunk Enterprise abaixo de 9.2.2, 9.1.5 e 9.0.10, mas apenas no Windows e somente se o componente Splunk Web estiver ativado.