Se ha identificado una vulnerabilidad de alta severidad en Splunk Enterprise, la plataforma de software reconocida por su capacidad para buscar, monitorear y analizar grandes volúmenes de datos generados por máquinas en tiempo real.
A continuación, se ofrece un análisis detallado de la vulnerabilidad reportada:
- CVE-2024-36985 (CVSS 8.8): Esta vulnerabilidad permite que un usuario de bajo privilegio, que no tenga roles administrativos, ejecute código de forma remota a través de una búsqueda externa que hace referencia a la aplicación splunk_archiver. El problema radica en un script llamado copybuckets.py, que invoca otro script (erp_launcher.py) y ejecuta un shell bash con argumentos proporcionados por el usuario, lo que puede llevar a la ejecución remota de código (RCE).
Productos, versiones afectadas y corregidas:
| Producto | Versión afectada | Versión corregida |
| Splunk Enterprise | 9.2.0 a 9.2.1 | 9.2.2 |
| Splunk Enterprise | 9.1.0 a 9.1.4 | 9.1.5 |
| Splunk Enterprise | 9.0.0 a 9.0.9 | 9.0.10 |
Recomendaciones:
- Actualizar Splunk Enterprise a la última versión disponible lo antes posible para mitigar los riesgos potenciales.
- Limitar el uso de consultas externas que puedan exponer a riesgos de ejecución de código remoto.
- Implementar el principio de menor privilegio asignando solo los accesos necesarios a cada usuario para reducir riesgos de seguridad.
Referencias: