信息來(lái)源：hackernews

據(jù)外媒 3 日?qǐng)?bào)道，Splunk 已修復(fù) JavaScript 代碼中存在的安全漏洞，該漏洞被編號(hào)為 CVE-2017-5607 ，允許攻擊者誘導(dǎo)已完成身份驗(yàn)證的用戶訪問(wèn)惡意網(wǎng)頁(yè)、泄露個(gè)人信息。

Splunk 是機(jī)器數(shù)據(jù)的引擎。使用 Splunk 可收集、索引和利用所有應(yīng)用程序、服務(wù)器和設(shè)備（物理、虛擬和云中）生成的快速移動(dòng)型計(jì)算機(jī)數(shù)據(jù) 。(百度百科)

無(wú)論用戶是否啟用遠(yuǎn)程訪問(wèn)功能，該漏洞都會(huì)泄漏用戶的登錄名稱(chēng)，并允許攻擊者使用網(wǎng)絡(luò)釣魚(yú)攻擊方式定位用戶位置、竊取用戶憑據(jù)。

調(diào)查表明，該漏洞源自 Splunk 于 Object 原型在 Java 中的使用方式。專(zhuān)家發(fā)布 Poc 概念驗(yàn)證：

<script>
Object.defineProperty（Object.prototype，“$ C”，{set：function（val）{
// prompt（“Splunk Timed out：\ nPlease Login to Splunk \ nUsername：
”+ val.USERNAME，“Password” ）
for（var i in val）{
alert（“”+ i +“”+ val [i]）;
}
}
}）;
</ script>

受影響的 Splunk Enterprise 版本為：

6.5.x 當(dāng)中 6.5.3 之前的各類(lèi)版本；
6.4.x 當(dāng)中 6.4.6 之前的各類(lèi)版本；
6.3.x 當(dāng)中 6.3.10 之前的各類(lèi)版本；
6.2.x 當(dāng)中 6.2.13.1 之前各類(lèi)版本；
6.1.x 當(dāng)中 6.1.13 之前的各類(lèi)版本；
6.0.x 當(dāng)中 6.0.14 之前的各類(lèi)版本；
5.0.x 當(dāng)中 5.0.18 之前的各類(lèi)版本；
以及 Splunk Light  6.5.2 之前的各類(lèi)版本。

目前，該公司已針對(duì)出現(xiàn)漏洞的全部版本發(fā)布修復(fù)補(bǔ)丁。

原作者：Pierluigi Paganini， 譯者：青楚     

本文由 HackerNews.cc 翻譯整理，封面來(lái)源于網(wǎng)絡(luò)。
轉(zhuǎn)載請(qǐng)注明“轉(zhuǎn)自 HackerNews.cc ” 并附上原文鏈接