Severity: High
Score: 8.0
CVSSv3.1 Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H
Mô tả:
Trong Splunk Enterprise phiên bản dưới 9.0.7 và 9.1.2, Splunk Enterprise không an toàn khi vô hiệu hóa các biến đổi ngôn ngữ bố cục kiểu mẫu mở rộng (XSLT) do người dùng cung cấp. Điều này có nghĩa là một kẻ tấn công có thể tải lên XSLT độc hại, dẫn đến việc thực thi mã từ xa trên phiên bản Splunk Enterprise.

Product	Version	Component	Affected Version	Fix Version
Splunk Enterprise	9.0	Splunk Web	9.0.0 to 9.0.6	9.0.7
Splunk Enterprise	9.1	Splunk Web	9.1.0 to 9.1.1	9.1.2
Splunk Cloud	-	Splunk Web	Versions below 9.1.2308	9.1.2308

Cách khắc phục:
Nâng cấp Splunk Enterprise lên 9.0.7 hoặc 9.1.2.

Nếu không thể nâng cấp, hạn chế khả năng của các yêu cầu nhiệm vụ tìm kiếm để chấp nhận ngôn ngữ bố cục kiểu mẫu XML (XSL) làm đầu vào hợp lệ.

Chỉnh sửa tệp cấu hình web.conf và thêm cấu hình sau trên các phiên bản mà bạn muốn hạn chế khả năng của yêu cầu nhiệm vụ tìm kiếm để chấp nhận XSL:

enableSearchJobXslt = false

Tham khảo:

https://research.splunk.com/application/a053e6a6-2146-483a-9798-2d43652f3299/

https://research.splunk.com/application/6cb7e011-55fb-48e3-a98d-164fa854e37e/

https://nvd.nist.gov/vuln/detail/CVE-2023-46214

https://research.splunk.com/application/6cb7e011-55fb-48e3-a98d-164fa854e37e/

POC: https://blog.hrncirik.net/cve-2023-46214-analysis

CVE-2023-46214 Remote code execution (RCE) in Splunk Enterprise through Insecure XML Parsing