Značajna sigurnosna ranjivost u Splunk Enterprise platformi mogla bi omogućiti napadačima s niskim privilegijama izvršavanje neovlaštenog JavaScript koda putem reflektiranog nedostatka Cross-Site Scripting (XSS).
Ranjivost, označena kao CVE-2025-20297, utiče na više verzija Splunk Enterprise i Splunk Cloud Platform, što je navelo kompaniju da odmah izda sigurnosna ažuriranja.
Odražena XSS ranjivost nalazi se unutar komponente za generisanja PDF-ova na kontrolnoj ploči Splunk Enterprisea, a posebno je usmjerena na REST krajnju tačku pdfgen/render.
Ranjivost Splunk Enterprise XSS-a
Ovaj sigurnosni propust omogućava napadačima s minimalnim sistemskim privilegijama da kreiraju maliciozne datoteke koje mogu izvršavati proizvoljni JavaScript kod u preglednicima žrtve.
Ranjivost je klasificirana pod CWE-79 ( Cross-Site Scripting ) i dodijeljena joj je CVSSv3.1 ocjena 4,3, što ukazuje na srednji nivo rizika.
Vektor napada je posebno zabrinjavajući jer zahtijeva samo korisničke privilegije niskog nivoa, isključujući one sa Splunk ulogama “admin” ili “power”.
To znači da standardni korisnici s ograničenim pristupom mogu potencijalno iskoristiti ranjivost kako bi ugrozili sesije drugih korisnika.
Vektorski niz CVSSv3.1, CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, ukazuje na to da se napad može izvršiti daljinski s niskom složenošću, što zahtijeva niske privilegije, ali bez interakcije korisnika.
| Faktori rizika | Detalji |
| Pogođeni proizvodi | Splunk Enterprise, sva izdanja ispod 9.4.2, 9.3.4 i 9.2.6 Splunk Web komponenta u Enterprise verzijama 9.4.1, 9.3.0 do 9.3.3 i 9.2.0 do 9.2.5 |
| Utjecaj | Izvršavanje neovlaštenog JavaScripta |
| Preduvjeti za iskorištavanje | Korisnik s niskim privilegijama (bez administratorskih prava/power privilegija), Autentificirani pristup Splunk Webu |
| CVSS 3.1 rezultat | 4.3 (Srednje) |
Ranjivost utiče na širok spektar Splunk proizvoda u više verzija.
Za Splunk Enterprise, pogođene verzije uključuju sva izdanja ispod 9.4.2, 9.3.4 i 9.2.6. Konkretno, Splunk Web komponenta u Enterprise verzijama 9.4.1, 9.3.0 do 9.3.3 i 9.2.0 do 9.2.5 sadrži ranjivost.
Važno je napomenuti da verzije Splunk Enterprise 9.1 ostaju nepromijenjene ovim sigurnosnim problemom. Korisnici Splunk Cloud Platforme su slično pogođeni, a ranjive verzije uključuju one ispod 9.3.2411.102, 9.3.2408.111 i 9.2.2406.118.
Ranjivost posebno utiče na instance sa omogućenim Splunk Webom, jer ova komponenta obrađuje funkcionalnost generisanja PDF-ova gdje postoji XSS greška. Grešku je otkrio Klevis Luli iz Splunk-ovog sigurnosnog tima.
Strategije ublažavanja
Splunk toplo preporučuje hitnu nadogradnju na ažurirane verzije kako bi se riješila ova ranjivost. Za poslovne korisnike, preporučene verzije ispravki su 9.4.2, 9.3.4, 9.2.6 ili novije.
Kompanija aktivno prati i automatski ažurira zakrpe za pogođene instance Splunk Cloud Platform kako bi osigurala sigurnost korisnika.
Kao privremeno rješenje, organizacije mogu u potpunosti onemogućiti funkcionalnost Splunk Weba, efektivno eliminirajući vektor napada, budući da ranjivost posebno cilja komponentu za generisanje PDF-ova web interfejsa.
Ovo ublažavanje se može implementirati putem konfiguracijske datoteke web.conf, iako može značajno uticati na korisničko iskustvo i funkcionalnost nadzorne ploče.
Sigurnosni timovi bi trebali dati prioritet ovom ažuriranju s obzirom na potencijal za otimanje sesije i neovlašteno izvršavanje koda. Iako ranjivost zahtijeva autentifikovani pristup, niski zahtjevi za privilegije čine je dostupnom širem spektru potencijalnih napadača.
Organizacije bi također trebale pregledati dodjelu korisničkih privilegija i razmotriti implementaciju dodatnog praćenja oko pdfgen/render krajnje tačke dok se zakrpe u potpunosti ne implementiraju na cijeloj Splunk infrastrukturi.
Izvor: CyberSecurityNews
