Se ha identificado una vulnerabilidad alta en productos de Splunk que podría permitir la ejecución remota de código (RCE). Esta falla afecta a Splunk Enterprise y Splunk Secure Gateway, exponiendo a los sistemas a posibles compromisos por parte de usuarios con privilegios bajos.
- CVE-2024-53247 (CVSS 8.8): Esta vulnerabilidad permite a un usuario con privilegios bajos, sin los roles «admin» llevar a cabo una ejecución remota de código (RCE). Esto ocurre debido a la conversión insegura de datos realizada por la biblioteca jsonpickle.
| Producto Afectado | Versión Afectada | Solución |
| Splunk Enterprise | Desde la 9.3 hasta 9.3.1. | Actualizar a la versión 9.3.2 o posterior. |
| Desde la 9.2 hasta 9.2.3. | Actualizar a la versión 9.2.4 o posterior. | |
| Desde la 9.1.0 hasta 9.1.6. | Actualizar a la versión 9.1.7 o posterior. | |
| Splunk Secure Gateway | Desde 3.7 hasta antes de la 3.7.13. | Actualizar a la versión 3.7.13 o posterior. |
| Desde 3.4 hasta antes de la 3.4.261. | Actualizar a la versión 3.4.261 o posterior. |
Recomendaciones:
- Actualizar Splunk Enterprise y Splunk Secure Gateway a las versiones indicadas para mitigar la vulnerabilidad.
- Deshabilitar o eliminar la aplicación Splunk Secure Gateway si no es utilizada en el entorno.
- Monitorear la implementación para asegurar la ausencia de actividad sospechosa tras la aplicación de parches.
Referencias: