Splunk 修复安全漏洞：诱导用户访问恶意网站，泄露个人信息

据外媒 3 日报道，Splunk 已修复 JavaScript 代码中存在的安全漏洞，该漏洞被编号为 CVE-2017-5607 ，允许攻击者诱导已完成身份验证的用户访问恶意网页、泄露个人信息。

Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备（物理、虚拟和云中）生成的快速移动型计算机数据 。(百度百科)

无论用户是否启用远程访问功能，该漏洞都会泄漏用户的登录名称，并允许攻击者使用网络钓鱼攻击方式定位用户位置、窃取用户凭据。

调查表明，该漏洞源自 Splunk 于 Object 原型在 Java 中的使用方式。专家发布 Poc 概念验证：