官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
Splunk 近日发布补丁,修复了影响 Splunk Enterprise 和 Splunk Cloud Platform 的高危远程代码执行(RCE)漏洞。该漏洞编号为 CVE-2025-20229,可能允许低权限用户通过上传恶意文件执行任意代码。
漏洞影响范围
该漏洞存在于以下版本中:
- Splunk Enterprise:9.3.3、9.2.5 和 9.1.8 之前的版本
- Splunk Cloud Platform:9.3.2408.104、9.2.2406.108、9.2.2403.114 和 9.1.2312.208 之前的版本
根据 Splunk 的安全公告,即使没有"admin"或"power"权限的低权限用户也可利用此漏洞。攻击者通过向"$SPLUNK_HOME/var/run/splunk/apptemp"目录上传文件,即可绕过必要的授权检查。
Splunk 为该漏洞评定的 CVSSv3.1 分数为 8.0(高危),攻击向量为 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H。
修复建议
Splunk 建议用户采取以下措施修复漏洞:
- Splunk Enterprise 用户:升级至 9.4.0、9.3.3、9.2.5、9.1.8 或更高版本
- Splunk Cloud Platform 用户:Splunk 正在主动监控和修补实例
Splunk Secure Gateway 应用漏洞
除上述 RCE 漏洞外,Splunk 还披露了影响 Splunk Secure Gateway 应用的另一个高危漏洞(CVE-2025-20231)。该漏洞可能允许低权限用户以高权限用户的权限进行搜索,导致敏感信息泄露。
| 产品 | 受影响版本 | 修复版本 |
|---|---|---|
| Splunk Enterprise | 9.3.0-9.3.2, 9.2.0-9.2.4, 9.1.0-9.1.7 | 9.3.3, 9.2.5, 9.1.8, 9.4.0 |
| Splunk Cloud Platform | 9.3.2408.100-9.3.2408.103, 9.2.2406.100-9.2.2406.107, 低于 9.2.2403.113, 低于 9.1.2312.207 | 9.3.2408.104, 9.2.2406.108, 9.2.2403.114, 9.1.2312.208 |
| Splunk Secure Gateway App | 低于 3.8.38, 低于 3.7.23 | 3.8.38, 3.7.23 |
漏洞详情
当调用/services/ssg/secretsREST 端点时,Splunk Secure Gateway 会在 splunk_secure_gateway.log 文件中以明文形式暴露用户会话和授权令牌。成功利用此漏洞需要攻击者诱骗受害者在浏览器中发起请求。
Splunk 将该漏洞评为高危,CVSSv3.1 分数为 7.1,攻击向量为 CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H。
解决方案
Splunk 建议:
- 升级 Splunk Enterprise 至 9.4.1、9.3.3、9.2.5 和 9.1.8 或更高版本
- Splunk Cloud Platform 实例正在主动修补中
用户可临时禁用 Splunk Secure Gateway 应用作为缓解措施,但这可能影响 Splunk Mobile、Spacebridge 和 Mission Control 用户的功能。Splunk 建议客户及时关注安全更新并尽快应用补丁,以保护系统免受潜在攻击。
参考来源:
Splunk RCE Vulnerability Let Attackers Execute Arbitrary Code Via File Upload
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 0 文章数
- 0 关注者