Splunk a annoncé la disponibilité d'un nouveau groupe de correctifs trimestriels pour Splunk Enterprise qui corrigent neuf vulnérabilités de haute gravité.

Les plus graves de ces failles de sécurité ont un score CVSS de 8,8 et sont décrites comme des bugs d'exécution de code à distance (RCE), d'injection d'entité externe XML (XXE) et de reflected cross-site scripting (XSS).

Les vulnérabilités RCE, identifiées sous les noms de CVE-2022-43571 et CVE-2022-43567, permettent à des attaquants autorisés d'exécuter du code en envoyant des requêtes modifiées à la fonction d'alertes mobiles de l'application Splunk Secure Gateway ou en utilisant le composant de génération de PDF du tableau de bord.

La vulnérabilité d'injection XXE, CVE-2022-43570, peut être exploitée pour que Splunk Web intègre des documents incorrects dans une erreur. La désactivation de Splunk Web et la limitation des personnes autorisées à télécharger des fichiers de consultation sont deux solutions à ce problème.

Selon Splunk, les versions de Splunk Enterprise avec Splunk Web activé sont vulnérables à un XSS réfléchi (CVE-2022-43568) "via JavaScript Object Notation (JSON) dans un paramètre de requête lorsque output_mode=radio". Cette faille peut être minimisée en désactivant Splunk Web.

Les deux prochaines failles de haute gravité ont un score CVSS de 8.1 et sont classées comme des contournements risqués de la protection des commandes qui peuvent être utilisés par un attaquant pour tromper une victime et l'inciter à effectuer une requête de navigateur.

La première faiblesse (CVE-2022-43563) affecte la façon dont la commande de recherche "rex" traite les noms de champs, tandis que la seconde (CVE-2022-43565) affecte la façon dont la commande "tstats" traite les fichiers JSON.

De plus, Splunk a corrigé une vulnérabilité persistante de type XSS (cross-site scripting) dans le nom d'objet d'un modèle de données (CVE-2022-43569), un contournement dangereux des protections de commande dans l'espace de travail analytique (CVE-2022-43566), et un blocage d'indexation ou une condition de déni de service (DoS) dans les protocoles Splunk-to-Splunk (S2S) et HTTP Event Collector (HEC) (CVE-2022-43572).

En outre, Splunk a corrigé un bogue de faible gravité, deux failles de gravité moyenne (DoS via des macros de recherche conçues et XSS via le rôle Splunk "power"), et un défaut mineur (injection d'en-tête d'hôte à distance et non authentifiée).

Splunk invite ses clients à effectuer une mise à jour vers les versions corrigées 8.1.12, 8.2.9 et 9.0.2 de Splunk Enterprise afin de limiter tout risque éventuel.