Splunk 近日發布補丁，修復了影響 Splunk Enterprise 和 Splunk Cloud Platform 的高危遠程代碼執行（RCE）漏洞。該漏洞編號為 CVE-2025-20229，可能允許低權限用戶通過上傳惡意文件執行任意代碼。

漏洞影響范圍

該漏洞存在于以下版本中：

• Splunk Enterprise：9.3.3、9.2.5 和 9.1.8 之前的版本
• Splunk Cloud Platform：9.3.2408.104、9.2.2406.108、9.2.2403.114 和 9.1.2312.208 之前的版本

根據 Splunk 的安全公告，即使沒有"admin"或"power"權限的低權限用戶也可利用此漏洞。攻擊者通過向"$SPLUNK_HOME/var/run/splunk/apptemp"目錄上傳文件，即可繞過必要的授權檢查。

Splunk 為該漏洞評定的 CVSSv3.1 分數為 8.0（高危），攻擊向量為 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H。

修復建議

Splunk 建議用戶采取以下措施修復漏洞：

• Splunk Enterprise 用戶：升級至 9.4.0、9.3.3、9.2.5、9.1.8 或更高版本
• Splunk Cloud Platform 用戶：Splunk 正在主動監控和修補實例

Splunk Secure Gateway 應用漏洞

除上述 RCE 漏洞外，Splunk 還披露了影響 Splunk Secure Gateway 應用的另一個高危漏洞（CVE-2025-20231）。該漏洞可能允許低權限用戶以高權限用戶的權限進行搜索，導致敏感信息泄露。

漏洞詳情

當調用/services/ssg/secretsREST 端點時，Splunk Secure Gateway 會在 splunk_secure_gateway.log 文件中以明文形式暴露用戶會話和授權令牌。成功利用此漏洞需要攻擊者誘騙受害者在瀏覽器中發起請求。

Splunk 將該漏洞評為高危，CVSSv3.1 分數為 7.1，攻擊向量為 CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H。

解決方案

Splunk 建議：

• 升級 Splunk Enterprise 至 9.4.1、9.3.3、9.2.5 和 9.1.8 或更高版本
• Splunk Cloud Platform 實例正在主動修補中

用戶可臨時禁用 Splunk Secure Gateway 應用作為緩解措施，但這可能影響 Splunk Mobile、Spacebridge 和 Mission Control 用戶的功能。Splunk 建議客戶及時關注安全更新并盡快應用補丁，以保護系統免受潛在攻擊。