漏洞概述 标题: Improper Input Validation through Classic Dashboard CSS in Splunk Enterprise 描述: 在Splunk Enterprise版本低于10.2.4、10.0.7、9.4.12和9.3.13,以及Splunk Cloud Platform版本低于10.3.2512.13、10.2.2510.15、10.1.2507.23和9.3.2411.132的情况下,低权限用户(不持有“admin”或“power”角色)可以创建一个经典仪表板,从更高权限用户的浏览器中窃取敏感数据。 原因: 经典仪表板面板未完全验证样式属性值,允许请求访问配置在受信任域列表之外的外部域。 利用条件: 攻击者需要诱骗受害者在其浏览器中发起请求。低权限用户无法利用此漏洞。 参考链接: Classic Dashboards Trusted Domains List About role-based user access --- 影响范围 受影响版本: Splunk Enterprise: 10.4, 10.2, 10.0, 9.4, 9.3 Splunk Cloud Platform: 10.3.2512, 10.2.2510, 10.1.2507, 9.3.2411 具体受影响组件: Splunk Web 受影响版本详情: Splunk Enterprise 10.4: 不受影响 Splunk Enterprise 10.2: 10.2.0至10.2.3 Splunk Enterprise 10.0: 10.0.0至10.0.6 Splunk Enterprise 9.4: 9.4.0至9.4.11 Splunk Enterprise 9.3: 9.3.0至9.3.12 Splunk Cloud Platform 10.3.2512: 低于10.3.2512.13 Splunk Cloud Platform 10.2.2510: 低于10.2.2510.15 Splunk Cloud Platform 10.1.2507: 低于10.1.2507.23 Splunk Cloud Platform 9.3.2411: 低于9.3.2411.132 --- 修复方案 升级版本: 升级Splunk Enterprise至10.4.0、10.2.4、10.0.7、9.4.12和9.3.13或更高版本。 Splunk正在积极监控和修补Splunk Cloud Platform实例。 缓解措施: 配置仪表板的受信任域列表,以限制仪表板可以加载内容的外部域。 审查并限制有权创建和编辑经典仪表板的角色。 --- 其他信息 CVSS评分: 5.7, 中等 CVSS向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N CWE: CWE-20 Bug ID: VULN-62655 致谢: Tony Tong (longster)