信息來源：hackernews

據(jù)外媒 3 日報道，Splunk 已修復 JavaScript 代碼中存在的安全漏洞，該漏洞被編號為 CVE-2017-5607 ，允許攻擊者誘導已完成身份驗證的用戶訪問惡意網(wǎng)頁、泄露個人信息。

Splunk 是機器數(shù)據(jù)的引擎。使用 Splunk 可收集、索引和利用所有應用程序、服務器和設備（物理、虛擬和云中）生成的快速移動型計算機數(shù)據(jù) 。(百度百科)

無論用戶是否啟用遠程訪問功能，該漏洞都會泄漏用戶的登錄名稱，并允許攻擊者使用網(wǎng)絡釣魚攻擊方式定位用戶位置、竊取用戶憑據(jù)。

調查表明，該漏洞源自 Splunk 于 Object 原型在 Java 中的使用方式。專家發(fā)布 Poc 概念驗證：

<script>
Object.defineProperty（Object.prototype，“$ C”，{set：function（val）{
// prompt（“Splunk Timed out：\ nPlease Login to Splunk \ nUsername：
”+ val.USERNAME，“Password” ）
for（var i in val）{
alert（“”+ i +“”+ val [i]）;
}
}
}）;
</ script>

受影響的 Splunk Enterprise 版本為：

6.5.x 當中 6.5.3 之前的各類版本；
6.4.x 當中 6.4.6 之前的各類版本；
6.3.x 當中 6.3.10 之前的各類版本；
6.2.x 當中 6.2.13.1 之前各類版本；
6.1.x 當中 6.1.13 之前的各類版本；
6.0.x 當中 6.0.14 之前的各類版本；
5.0.x 當中 5.0.18 之前的各類版本；
以及 Splunk Light  6.5.2 之前的各類版本。

目前，該公司已針對出現(xiàn)漏洞的全部版本發(fā)布修復補丁。

原作者：Pierluigi Paganini， 譯者：青楚     

本文由 HackerNews.cc 翻譯整理，封面來源于網(wǎng)絡。
轉載請注明“轉自 HackerNews.cc ” 并附上原文鏈接