在 Splunk Secure Gateway 应用程序中发现了一个严重漏洞，该漏洞可允许低权限用户在易受攻击的系统上执行任意代码。该漏洞被识别为 CVE-2024-53247，CVSS 得分为 8.8，影响 Splunk Enterprise 9.3.2、9.2.4 和 9.1.7 以下版本，以及 Splunk Cloud Platform 上 Splunk Secure Gateway 应用程序 3.2.461 和 3.7.13 以下版本。

详细信息：

该漏洞源于对 jsonpickle Python 库的不安全使用导致的不安全数据反序列化。这允许攻击者注入可远程执行的恶意代码。成功利用漏洞后，攻击者可完全控制受影响的系统。

受影响产品：

• Splunk Enterprise 9.3.2、9.2.4 和 9.1.7 以下版本
• Splunk 云平台上低于 3.2.461 和 3.7.13 的 Splunk 安全网关应用程序版本

影响：

成功利用此漏洞可导致远程代码执行，使攻击者能够

• 破坏敏感数据
• 安装恶意软件
• 控制系统
• 中断关键服务

解决方案：

Splunk 已发布修补程序来解决此漏洞。强烈建议用户升级到最新版本的 Splunk Enterprise 和 Splunk Secure Gateway 应用程序：

• Splunk Enterprise： 升级到 9.3.2、9.2.4 或 9.1.7 或更高版本。
• Splunk Secure Gateway 应用程序： 升级到 3.2.461 或 3.7.13 或更高版本。

缓解措施：

如果无法立即打补丁，Splunk 建议禁用 Splunk Secure Gateway 应用程序作为临时缓解措施。但必须注意的是，禁用该应用程序也将禁用 Splunk Mobile、Spacebridge 和 Mission Control，因为这些应用程序依赖于 Splunk Secure Gateway 应用程序的功能。