Splunk ha lanzado actualizaciones de seguridad para corregir múltiples vulnerabilidades en paquetes de terceros para SOAR. Un actor malicioso remoto podría explotar estas vulnerabilidades para el acceso no autorizado, la ejecución de código o la manipulación de datos en la infraestructura principal.
Productos afectados
- Splunk SOAR versiones anteriores a la 6.4.1
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2024-32002: con una puntuación de 9.0 en CVSS v3.1. Existe una vulnerabilidad en Git que podría permitir escribir archivos no en el árbol de trabajo del submódulo, sino en el directorio ‘.git/’. Esto podría permitir escribir un hook que se ejecuta mientras la operación de clonación aún está en curso, impidiendo al usuario inspeccionar el código en ejecución.
CVE-2024-45230: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad en los filtros de plantilla urlize() y urlizetrunc(), que podrían estar sujetos a un posible ataque de denegación de servicio mediante entradas muy grandes con una secuencia específica de caracteres.
CVE-2024-21538: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio por expresiones regulares (ReDoS) debido a una limpieza de entrada incorrecta.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://advisory.splunk.com/advisories/SVD-2025-0712
- https://nvd.nist.gov/vuln/detail/cve-2024-32002
- https://nvd.nist.gov/vuln/detail/cve-2024-45230
- https://nvd.nist.gov/vuln/detail/CVE-2024-21538