Splunk je objavio zakrpe za rješavanje ranjivosti Remote Code Execution (RCE) visoke ozbiljnosti koja utiče na Splunk Enterprise i Splunk Cloud Platform. Ranjivost, identifikovana kao CVE-2025-20229, mogla bi omogućiti korisniku s niskim privilegijama da izvrši proizvoljan kod učitavanjem malicioznih datoteka.
Ranjivost postoji u verzijama Splunk Enterprise prije 9.3.3, 9.2.5 i 9.1.8, kao i verzijama Splunk Cloud Platform prije 9.3.2408.104, 9.2.2406.108, 9.2.2403.114.2.31.2.
Prema Splunk-ovom savjetu, korisnik s niskim privilegijama bez uloga “admin” ili “power” mogao bi iskoristiti ranjivost. Ovo se postiže učitavanjem datoteke u direktorij “$SPLUNK_HOME/var/run/splunk/apptemp”, zaobilazeći neophodne provjere autorizacije .
Splunk je dodijelio CVSSv3.1 ocjenu 8,0, označavajući ga kao problem visoke ozbiljnosti sa vektorom CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H.
Zaustavite napade prije nego što počnu, pokretani 97% precizne neuronske mreže za otkrivanje sajber napada
Da bi otklonio ranjivost, Splunk preporučuje nadogradnju Splunk Enterprisea na verzije 9.4.0, 9.3.3, 9.2.5, 9.1.8 ili novije. Za korisnike Splunk Cloud Platforme, Splunk aktivno prati i krpi instance.
Ranjivost u aplikaciji Splunk Secure Gateway
Pored RCE ranjivosti, Splunk je otkrio zasebnu ranjivost visoke ozbiljnosti koja utiče na aplikaciju Splunk Secure Gateway.
Ova ranjivost, identifikovana kao CVE-2025-20231, mogla bi omogućiti korisniku s niskim privilegijama da pretražuje korišćenjem dozvola korisnika s višim privilegijama, što može dovesti do otkrivanja osjetljivih informacija .
| Proizvod | Zahvaćene verzije | Fiksne verzije |
|---|---|---|
| Splunk Enterprise | 9.3.0-9.3.2, 9.2.0-9.2.4, 9.1.0-9.1.7 | 9.3.3, 9.2.5, 9.1.8, 9.4.0 |
| Splunk Cloud platforma | 9.3.2408.100-9.3.2408.103, 9.2.2406.100-9.2.2406.107, Ispod 9.2.2403.113, Ispod 9.1.2312.207 | 9.3.2408.104, 9.2.2406.108, 9.2.2403.114, 9.1.2312.208 |
| Aplikacija Splunk Secure Gateway | Ispod 3.8.38, Ispod 3.7.23 | 3.8.38, 3.7.23 |
Ranjivost utiče na verzije Splunk Enterprise ispod 9.4.1, 9.3.3, 9.2.5 i 9.1.8 i verzije aplikacije Splunk Secure Gateway ispod 3.8.38 i 3.7.23 na platformi Splunk Cloud.
Splunk Secure Gateway izlaže korisničke sesije i tokene autorizacije u čistom tekstu unutar datoteke splunk_secure_gateway.log kada poziva /services/ssg/secretsREST krajnju tačku.
Uspješno iskorišćavanje zahtjeva od napadača da prevari žrtvu da pokrene zahtjev u svom pretraživaču. Splunk je ovu ranjivost ocijenio kao visoku ozbiljnost, sa ocijenom CVSSv3.1 od 7,1 i vektorom CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H.
Kako bi riješio ovaj problem, Splunk savjetuje nadogradnju Splunk Enterprise na verzije 9.4.1, 9.3.3, 9.2.5 i 9.1.8 ili novije. Splunk također aktivno krpi instance Splunk Cloud Platforme.
Korisnici mogu onemogućiti aplikaciju Splunk Secure Gateway kao rješenje, iako to može uticati na funkcionalnost za korisnike Splunk Mobile, Spacebridge i Mission Control.
Splunk ohrabruje kupce da ostanu informisani o sigurnosnim ažuriranjima i da odmah primjenjuju zakrpe kako bi zaštitili svoje sisteme od potencijalnih eksploatacija.
Izvor: CyberSecurityNews
