信息來源：hackernews

據(jù)外媒 3 日報(bào)道，Splunk 已修復(fù) JavaScript 代碼中存在的安全漏洞，該漏洞被編號為 CVE-2017-5607 ，允許攻擊者誘導(dǎo)已完成身份驗(yàn)證的用戶訪問惡意網(wǎng)頁、泄露個(gè)人信息。

Splunk 是機(jī)器數(shù)據(jù)的引擎。使用 Splunk 可收集、索引和利用所有應(yīng)用程序、服務(wù)器和設(shè)備（物理、虛擬和云中）生成的快速移動型計(jì)算機(jī)數(shù)據(jù) 。(百度百科)

無論用戶是否啟用遠(yuǎn)程訪問功能，該漏洞都會泄漏用戶的登錄名稱，并允許攻擊者使用網(wǎng)絡(luò)釣魚攻擊方式定位用戶位置、竊取用戶憑據(jù)。

調(diào)查表明，該漏洞源自 Splunk 于 Object 原型在 Java 中的使用方式。專家發(fā)布 Poc 概念驗(yàn)證：

<script>
Object.defineProperty（Object.prototype，“$ C”，{set：function（val）{
// prompt（“Splunk Timed out：\ nPlease Login to Splunk \ nUsername：
”+ val.USERNAME，“Password” ）
for（var i in val）{
alert（“”+ i +“”+ val [i]）;
}
}
}）;
</ script>

受影響的 Splunk Enterprise 版本為：

6.5.x 當(dāng)中 6.5.3 之前的各類版本；
6.4.x 當(dāng)中 6.4.6 之前的各類版本；
6.3.x 當(dāng)中 6.3.10 之前的各類版本；
6.2.x 當(dāng)中 6.2.13.1 之前各類版本；
6.1.x 當(dāng)中 6.1.13 之前的各類版本；
6.0.x 當(dāng)中 6.0.14 之前的各類版本；
5.0.x 當(dāng)中 5.0.18 之前的各類版本；
以及 Splunk Light  6.5.2 之前的各類版本。

目前，該公司已針對出現(xiàn)漏洞的全部版本發(fā)布修復(fù)補(bǔ)丁。

原作者：Pierluigi Paganini， 譯者：青楚     

本文由 HackerNews.cc 翻譯整理，封面來源于網(wǎng)絡(luò)。
轉(zhuǎn)載請注明“轉(zhuǎn)自 HackerNews.cc ” 并附上原文鏈接