Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de control de acceso inadecuado en Splunk Enterprise

Fecha de publicación 16/06/2022
Identificador

INCIBE-2022-0797

Importancia
5 - Crítica
Recursos Afectados

Splunk Enterprise, versiones anteriores a 9.0.

Descripción

Splunk ha informado de una vulnerabilidad que permitiría a un atacante ejecutar código arbitrario en los endpoints de Universal Forwarder suscritos al servidor de despliegue.

Solución

Actualizar los servidores de despliegue de Splunk Enterprise a la versión 9.0 o superior.

Detalle

La vulnerabilidad detectada se produce debido a los clientes que despliegan paquetes reenviados desde otros servidores de despliegue a otros clientes, a través del servidor de despliegue. Eso permitiría que un atacante que comprometiera un endpoint de Universal Forwarder usara la vulnerabilidad para ejecutar código arbitrario en el resto de endpoints de Universal Forwarder. Se ha informado que Splunk Cloud Platform (SCP) no utiliza servidores de despliegue y no se ve afectada por la vulnerabilidad. Se ha asignado el identificador CVE-2022-32158 para esta vulnerabilidad.

Encuesta valoración