In Splunk Enterprise versions below 10.2.1, 10.0.5, 9.4.10, and 9.3.11, and Splunk Cloud Platform versions below 10.4.2603.0, 10.3.2512.5, 10.2.2510.9, 10.1.2507.19, 10.0.2503.13, and 9.3.2411.127, a low-privileged user that does not hold the `admin` or `power` Splunk roles could potentially perform a Remote Code Execution (RCE) by uploading a malicious file to the `$SPLUNK_HOME/var/run/splunk/apptemp` directory due to improper handling and insufficient isolation of temporary files within the `apptemp` directory.
Splunk Enterprise and Cloud Platform versions below specified patches contain a vulnerability allowing low-privileged users to execute remote code by uploading malicious files to the apptemp directory due to improper temporary file handling. This affects multiple versions across both on-premises and cloud deployments.
تسمح هذه الثغرة للمستخدمين ذوي الصلاحيات المنخفضة الذين لا يملكون أدوار admin أو power بتنفيذ أكواد بعيدة عن طريق استغلال معالجة غير صحيحة للملفات المؤقتة. يتم تحميل الملفات الضارة إلى دليل $SPLUNK_HOME/var/run/splunk/apptemp مما يؤدي إلى تنفيذ الأكواد الضارة.
إصدارات Splunk Enterprise و Cloud Platform التي تسبق التصحيحات المحددة تحتوي على ثغرة تسمح للمستخدمين ذوي الصلاحيات المنخفضة بتنفيذ أكواد بعيدة عن طريق تحميل ملفات ضارة إلى دليل apptemp. يؤثر هذا على إصدارات متعددة في كل من النشر المحلي والسحابي.
Immediately upgrade Splunk Enterprise to version 10.2.1, 10.0.5, 9.4.10, or 9.3.11 and Splunk Cloud Platform to version 10.4.2603.0, 10.3.2512.5, 10.2.2510.9, 10.1.2507.19, 10.0.2503.13, or 9.3.2411.127 or later. Restrict file upload permissions and monitor the apptemp directory for suspicious activities. Implement principle of least privilege for user accounts.
قم بترقية Splunk Enterprise فوراً إلى الإصدار 10.2.1 أو 10.0.5 أو 9.4.10 أو 9.3.11 وSplunk Cloud Platform إلى الإصدار 10.4.2603.0 أو أحدث. قيد صلاحيات تحميل الملفات ومراقبة دليل apptemp للأنشطة المريبة. طبق مبدأ أقل صلاحية للحسابات.