一位独立网络安全研究人员发布了概念验证(PoC)漏洞，利用流行的监控和数据分析系统Splunk中的RCE漏洞CVE-2023-46214，更准确地说是在该公司的企业产品Enterprise中。该漏洞允许在易受攻击的服务器上远程执行任意代码，因此该漏洞被指定为高严重性级别（CVSS等级为8.8分）。

SplunkEnterprise是一种用于收集和分析组织基础架构和业务应用程序生成的各种数据的解决方案。然后，这些数据用于生成可操作的分析结果，帮助提高安全性、合规性、应用程序交付、IT运营和业务的其他方面。

 Splunk的数百家客户包括许多世界知名公司，包括英特尔、联想、Zoom、博世、可口可乐、棒约翰、本田、彪马等。

 漏洞CVE-2023-46214是由于对Splunk用户可以上传的可扩展样式表语言(XSLT)的过滤不当造成的。这使得潜在攻击者能够传输恶意XSLT代码，从而导致在SplunkEnterprise服务器上远程执行代码。

 根据Splunk开发者的信息，该漏洞影响9.0.0至9.0.6以及9.1.0至9.1.1版本。同样受到攻击的还有SplunkEnterprise8.x版本和低于9.1.2308版本的SplunkCloud云服务。

 发布该漏洞的安全研究人员在一份单独的报告中详细审查了该漏洞。根据获得的数据，发起攻击需要在系统中进行初步身份验证（了解有效的用户凭据），以及目标服务器上的一些用户操作。

 Splunk开发人员已经发布了更新9.0.7和9.1.2，修复了CVE-2023-46214漏洞。如果无法立即更新，建议作为临时措施，禁用加载搜索作业的XML样式的功能。此外，Splunk团队还提供了有关该漏洞的详细信息，可能对安全专业人员有用。

---

转自安全客，原文链接：https://www.anquanke.com/post/id/291508

封面来源于网络，如有侵权请联系删除