Splunk 近日發(fā)布補(bǔ)丁，修復(fù)了影響 Splunk Enterprise 和 Splunk Cloud Platform 的高危遠(yuǎn)程代碼執(zhí)行（RCE）漏洞。該漏洞編號(hào)為 CVE-2025-20229，可能允許低權(quán)限用戶通過(guò)上傳惡意文件執(zhí)行任意代碼。

漏洞影響范圍

該漏洞存在于以下版本中：

• Splunk Enterprise：9.3.3、9.2.5 和 9.1.8 之前的版本
• Splunk Cloud Platform：9.3.2408.104、9.2.2406.108、9.2.2403.114 和 9.1.2312.208 之前的版本

根據(jù) Splunk 的安全公告，即使沒(méi)有"admin"或"power"權(quán)限的低權(quán)限用戶也可利用此漏洞。攻擊者通過(guò)向"$SPLUNK_HOME/var/run/splunk/apptemp"目錄上傳文件，即可繞過(guò)必要的授權(quán)檢查。

Splunk 為該漏洞評(píng)定的 CVSSv3.1 分?jǐn)?shù)為 8.0（高危），攻擊向量為 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H。

修復(fù)建議

Splunk 建議用戶采取以下措施修復(fù)漏洞：

• Splunk Enterprise 用戶：升級(jí)至 9.4.0、9.3.3、9.2.5、9.1.8 或更高版本
• Splunk Cloud Platform 用戶：Splunk 正在主動(dòng)監(jiān)控和修補(bǔ)實(shí)例

Splunk Secure Gateway 應(yīng)用漏洞

除上述 RCE 漏洞外，Splunk 還披露了影響 Splunk Secure Gateway 應(yīng)用的另一個(gè)高危漏洞（CVE-2025-20231）。該漏洞可能允許低權(quán)限用戶以高權(quán)限用戶的權(quán)限進(jìn)行搜索，導(dǎo)致敏感信息泄露。

漏洞詳情

當(dāng)調(diào)用/services/ssg/secretsREST 端點(diǎn)時(shí)，Splunk Secure Gateway 會(huì)在 splunk_secure_gateway.log 文件中以明文形式暴露用戶會(huì)話和授權(quán)令牌。成功利用此漏洞需要攻擊者誘騙受害者在瀏覽器中發(fā)起請(qǐng)求。

Splunk 將該漏洞評(píng)為高危，CVSSv3.1 分?jǐn)?shù)為 7.1，攻擊向量為 CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H。

解決方案

Splunk 建議：

• 升級(jí) Splunk Enterprise 至 9.4.1、9.3.3、9.2.5 和 9.1.8 或更高版本
• Splunk Cloud Platform 實(shí)例正在主動(dòng)修補(bǔ)中

用戶可臨時(shí)禁用 Splunk Secure Gateway 應(yīng)用作為緩解措施，但這可能影響 Splunk Mobile、Spacebridge 和 Mission Control 用戶的功能。Splunk 建議客戶及時(shí)關(guān)注安全更新并盡快應(yīng)用補(bǔ)丁，以保護(hù)系統(tǒng)免受潛在攻擊。