Splunk Enterprise’da yüksek kritiklikte güvenlik açığına (CVE-2023-46214) karşı “proof-of-concept” (PoC) exploit yayımlandı. Zafiyet RCE’e izin veriyor.
CVE-2023-46214 PoC
CVE-2023-46214, Splunk Enterprise’ın Extensible Stylesheet Language Transformations (XSLT) doğru olarak temizleyememesinden kaynaklanmakta. Bu, saldırganların özel olarak hazırlanmış XSLT yükleyebileceği ve Splunk Enterprise’da RCE yapasına izin veriyor.
CVE-2023-46214, Splunk Enterprise sürümlerini 9.0.0’dan 9.0.6’ya ve 9.1.0’dan 9.1.1’e etkilemekte ayrıca artık desteklenmeyen Splunk v8.x’i de etkilemekte. Bunun yanında 9.1.2308’in altındaki Splunk Cloud sürümleri de etkilenmekte.
CVE-2023-46214 PoC ve Risk Azaltma
Saldırı uzaktan gerçekleştirilebilir, ancak önceden kimlik doğrulama (geçerli kimlik bilgilerinin bilinmesi) ve bazı kullanıcı etkileşimi gerektirir.
Kullanıcıların zafiyetin etkilerini en aza indirmek için 9.0.7 ve 9.1.2 sürümlerine yükseltmeleri veya yükseltemiyorlarsa XML stil sayfası dili (XSL) dosyalarına erişimi (web.conf yapılandırma dosyasını değiştirerek) sınırlamaları öneriliyor.
Kaynak: helpnetsecurity.com