一、漏洞详情

 1.1.  漏洞描述

Splunk Enterprise是机器数据的引擎。使用Splunk可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据。关联并分析跨越多个系统的复杂事件。获取新层次的运营可见性以及IT和业务智能。Splunk Enterprise部署服务器9.0之前的版本存在远程代码执行漏洞，允许客户端将转发器捆绑包通过该服务器部署到其他部署客户端。使用部署服务器时，允许创建可由Splunk通用转发器(SUF)代理或其他Splunk Enterprise实例（如重型转发器）自动下载的配置包，这些配置包中允许包含二进制文件，SUF自动下载后会执行该二进制程序。默认情况下，SUF代理在Windows上以SYSTEM身份运行。控制了通用转发器端点的攻击者可利用该漏洞在订阅部署服务器的所有其他通用转发器端点上执行任意代码。

 1.2.   漏洞编号

CVE-2022-32158

 1.3.   漏洞等级

高 危

二、影响范围

Splunk Enterprise < 9.0

三、修复建议

将 Splunk Enterprise deployment servers 升级至 9.0 或以上版本

https://www.splunk.com/en_us/product-security/announcements/svd-2022- 0608.html