Splunk远程代码执行漏洞(CVE-2025-20229)

admin 2025年4月1日23:55:29评论19 views字数 1258阅读4分11秒阅读模式
Splunk远程代码执行漏洞(CVE-2025-20229)

漏洞描述:

Splunk Enterprise是一款强大的数据分析平台,专注于机器数据的收集、监控和分析,广泛应用于日志管理、安全信息事件管理(SIEM)和IT运维,能够帮助组织实时获取操作数据、检测异常、分析趋势,并提供可视化报表和警报功能。Splunk Cloud Platform是Splunk的云版本,提供与Enterprise相同的数据分析功能,但以SaaS形式运行,用户无需自行管理基础设施,它适用于需要高度可扩展性和灵活性的企业,支持跨平台、跨环境的数据分析和管理,帮助组织高效处理大数据,并实现深入的智能洞察。

Splunk发布的安全公告,公告指出Splunk Enterprise和Splunk Cloud Platform存在一个高危漏洞。在特定版本中,低权限用户(未持有"admin"或"power"角色)由于缺乏必要的授权检查,可能通过将文件上传至“$SPLUNK_HOME/var/run/splunk/apptemp”目录,从而执行远程代码(RCE)

攻击场景:

攻击者可以通过向“$SPLUNK_HOME/vаr/run/ѕрlunk/аррtеmр”目录上传文件来执行远程代码执行(RCE)

影响范围:

9.3.2408.100 <= Splunk Cloud Platform <= 9.3.2408.103

9.2.2406.100 <= Splunk Cloud Platform <= 9.2.2406.107

Splunk Cloud Platform < 9.2.2403.113

Splunk Cloud Platform < 9.1.2312.207

9.3.0 <= Splunk Enterprise <= 9.3.2

9.2.0 <= Splunk Enterprise 9.2.4

9.1.0 <= Splunk Enterprise 9.1.7

修复建议:

升级版本

官方已发布修复版本,建议受影响用户尽快更新

Splunk Enterprise 9.4升级到9.4.0

Splunk Enterprise 9.3受影响版本升级到9.3.3

Splunk Enterprise 9.2受影响版本升级到9.2.5

Splunk Enterprise 9.1受影响版本升级到9.1.8

Splunk Cloud Platform 9.3.2408受影响版本升级到9.3.2408.104

Splunk Cloud Platform 9.2.2406受影响版本升级到9.2.2406.108

Splunk Cloud Platform 9.2.2403受影响版本升级到9.2.2403.114

Splunk Cloud Platform 9.1.2312受影响版本升级到9.1.2312.208

下载链接:https://www.splunk.com/en_us/download.html/

临时措施:

暂无

参考链接:

https://advisory.splunk.com/advisories/SVD-2025-0301

原文始发于微信公众号(飓风网络安全):【漏洞预警】Splunk远程代码执行漏洞(CVE-2025-20229)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月1日23:55:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Splunk远程代码执行漏洞(CVE-2025-20229)https://cn-sec.com/archives/3895624.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息