Podatność Path traversal w Splunk Enterprise na Windows

W oprogramowaniu Splunk Enterprise działającym na systemach Windows ujawniona została niedawno podatność typu path traversal, pozwalająca atakującemu na nieuprawniony dostęp do plików na podatnym systemie. Błąd może wykorzystać zdalnie nieuwierzytelniony atakujący i sprowadza się do wysłania pojedynczego żądania HTTP GET. Do wykorzystania może dojść w ścieżce /modules/messaging/ na instancjach Splunk z włączonym modułem Splunk Web.

Błąd wynika ze sposobu, w jaki działa funkcja Pythona os.path.join. Podczas przetwarzania ścieżek, usuwa ona nazwy napędów w systemie z tworzonych ścieżek. W tym przypadku ciąg znaków C:../C:../ zostaje zamieniony na ciąg ../../.

Firma przygotowała zalecenia dotyczące naprawy błędu. Poza aktualizacją do najnowszej wersji – w zależności od linii oprogramowania Splunk będą to 9.0.10, 9.1.5 lub 9.2.2 – możliwa jest mitygacja poprzez wyłączenie modułu Splunk Web.

Zachęcamy do jak najszybszego zajęcia się podatnością, ponieważ jest ona trywialna do wykorzystania. Stosowne PoCe (Proof of Concept) dostępne są na GitHub. Podatność oznaczona została jako CVE-2024-36991.

~Paweł Różański