A empresa de tecnologia Splunk lançou atualizações de segurança para resolver 16 vulnerabilidades no Splunk Enterprise e Cloud Platform, incluindo quatro falhas de alta severidade. Uma das falhas críticas, CVE-2024-36985, envolve a execução remota de código (RCE) através de uma consulta externa devido ao script “copybuckets.py” na aplicação “splunk_archiver” do Splunk Enterprise. Essa vulnerabilidade permite que um usuário com privilégios baixos execute código remoto sem a necessidade de permissões de administrador ou poder.
Outra falha de alta severidade, CVE-2024-36984, permite a execução de código remoto através de payloads de sessão serializados no Splunk Enterprise em Windows. Um usuário autenticado pode executar uma consulta especialmente criada para serializar dados não confiáveis, resultando na execução de código arbitrário. As versões do Splunk Enterprise 9.2.2, 9.1.5 e 9.0.10 ou superiores corrigem essas falhas. A empresa também recomenda desativar a aplicação “splunk_archiver” como medida temporária de mitigação.
Além disso, desativar o Splunk Web em indexadores pode mitigar a falha no caso de ambientes distribuídos. A Splunk também abordou falhas de XSS persistentes nos elementos do Dashboard e Web Bulletin, além de vulnerabilidades que permitiam a criação de itens experimentais por usuários com poucos privilégios. A atualização de segurança de julho de 2024 inclui melhorias nos pacotes de terceiros usados pelo Splunk Enterprise, garantindo maior segurança e estabilidade para os usuários.