Vulnerabilidad de control de acceso inadecuado en Splunk Enterprise
INCIBE-2022-0797
Splunk Enterprise, versiones anteriores a 9.0.
Splunk ha informado de una vulnerabilidad que permitiría a un atacante ejecutar código arbitrario en los endpoints de Universal Forwarder suscritos al servidor de despliegue.
Actualizar los servidores de despliegue de Splunk Enterprise a la versión 9.0 o superior.
La vulnerabilidad detectada se produce debido a los clientes que despliegan paquetes reenviados desde otros servidores de despliegue a otros clientes, a través del servidor de despliegue. Eso permitiría que un atacante que comprometiera un endpoint de Universal Forwarder usara la vulnerabilidad para ejecutar código arbitrario en el resto de endpoints de Universal Forwarder. Se ha informado que Splunk Cloud Platform (SCP) no utiliza servidores de despliegue y no se ve afectada por la vulnerabilidad. Se ha asignado el identificador CVE-2022-32158 para esta vulnerabilidad.