Splunk 已发布补丁,以修复一个影响 Splunk Enterprise 和 Splunk Cloud Platform 的高危远程代码执行(RCE)漏洞。该漏洞被认定为 CVE-2025-20229,可能使低权限用户通过上传恶意文件来执行任意代码。
此漏洞存在于 Splunk Enterprise 9.3.3、9.2.5 和 9.1.8 版本之前的版本中,以及 Splunk Cloud Platform 9.3.2408.104、9.2.2406.108、9.2.2403.114 和 9.1.2312.208 版本之前的版本中。
根据 Splunk 发布的安全公告,没有 “管理员(admin)” 或 “高级权限(power)” 角色的低权限用户可能会利用这个漏洞。其利用方式是通过向 “$SPLUNK_HOME/var/run/splunk/apptemp” 目录上传文件,绕过必要的授权检查。
Splunk 为该漏洞分配了通用漏洞评分系统(CVSSv3.1)8.0 的评分,将其标记为高危问题,其评分向量为 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H。
为修复该漏洞,Splunk 建议将 Splunk Enterprise 升级到 9.4.0、9.3.3、9.2.5、9.1.8 或更高版本。对于 Splunk Cloud Platform 的用户,Splunk 正在积极监控并为实例打补丁。
Splunk Secure Gateway 应用程序中的漏洞
除了上述远程代码执行漏洞外,Splunk 还披露了另一个影响 Splunk 安全网关应用程序(Splunk Secure Gateway app)的高危漏洞。
这个被认定为 CVE-2025-20231 的漏洞,可能使低权限用户使用高权限用户的权限进行搜索,这有可能导致敏感信息泄露。
| 产品 | 受影响的版本 | 修复版本 |
| Splunk 企业版 | 9.3.0-9.3.2, 9.2.0-9.2.4, 9.1.0-9.1.7 | 9.3.3, 9.2.5, 9.1.8, 9.4.0 |
| Splunk 云平台 | 9.3.2408.100-9.3.2408.103, 9.2.2406.100-9.2.2406.107, 低于 9.2.2403.113, 低于 9.1.2312.207 | 9.3.2408.104, 9.2.2406.108, 9.2.2403.114, 9.1.2312.208 |
| Splunk Secure Gateway 应用程序 | 低于 3.8.38, 低于 3.7.23 | 3.8.38, 3.7.23 |
该漏洞影响 Splunk Enterprise 9.4.1、9.3.3、9.2.5 和 9.1.8 以下的版本,以及 Splunk Cloud Platform 上 3.8.38 和 3.7.23 以下版本的 Splunk 安全网关应用程序。
当调用 REST 端点./services/ssg/secrets 时,Splunk 安全网关会在 splunk_secure_gateway.log 文件中以明文形式暴露用户会话和授权令牌。
成功利用该漏洞需要攻击者诱骗受害者在其浏览器中发起请求。Splunk 将此漏洞评定为高危,其通用漏洞评分系统(CVSSv3.1)评分为 7.1,评分向量为 CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H。
为解决这个问题,Splunk 建议将 Splunk Enterprise 升级到 9.4.1、9.3.3、9.2.5 和 9.1.8 或更高版本。Splunk 也在积极为 Splunk Cloud Platform 的实例打补丁。
用户可以禁用 Splunk 安全网关应用程序作为临时解决办法,不过这可能会影响 Splunk Mobile、Spacebridge和Mission Control 用户的功能。
Splunk 鼓励客户及时了解安全更新信息,并及时应用补丁,以保护其系统免受潜在的漏洞利用威胁。
发表评论
您还未登录,请先登录。
登录