SVD-2025-1102 | Splunk漏洞披露
风险命令保护绕过:通过Splunk企业版中“/services/streams/search”REST端点的“q”参数
公告ID: SVD-2025-1102
CVE ID: CVE-2025-20379
发布时间: 2025-11-12
最后更新: 2025-11-12
CVSSv3.1评分: 3.5,低危
CVSSv3.1向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N
CWE: CWE-200
缺陷ID: VULN-41203
描述
在Splunk企业版10.0.1、9.4.5、9.3.7、9.2.9以下版本,以及Splunk云平台9.3.2411.116、9.3.2408.124、10.0.2503.5、10.1.2507.1以下版本中,不持有“admin”或“power”Splunk角色的低权限用户,可以通过更高权限用户的权限运行包含风险命令的保存搜索,从而绕过SPL风险命令保护机制。攻击者可通过在REST路径中使用字符编码绕过端点限制,利用“/services/streams/search”端点的“q”参数来绕过这些保护。
该漏洞要求攻击者通过钓鱼方式诱骗受害者在浏览器中发起请求。认证用户不应能够随意利用此漏洞。
解决方案
将Splunk企业版升级到10.0.1、9.4.5、9.3.7、9.2.9或更高版本。 Splunk正在积极监控和修补Splunk云平台实例。
产品状态
| 产品 | 基础版本 | 组件 | 受影响版本 | 修复版本 |
|---|---|---|---|---|
| Splunk企业版 | 10.0 | Splunk Web | 10.0.0 | 10.0.1 |
| Splunk企业版 | 9.4 | Splunk Web | 9.4.0 to 9.4.4 | 9.4.5 |
| Splunk企业版 | 9.3 | Splunk Web | 9.3.0 to 9.3.6 | 9.3.7 |
| Splunk企业版 | 9.2 | Splunk Web | 9.2.0 to 9.2.8 | 9.2.9 |
| Splunk云平台 | 9.3.2411 | Splunk Web | 低于9.3.2411.116 | 9.3.2411.116 |
| Splunk云平台 | 9.3.2408 | Splunk Web | 低于9.3.2408.124 | 9.3.2408.124 |
| Splunk云平台 | 10.0.2503 | Splunk Web | 低于10.0.2503.5 | 10.0.2503.5 |
| Splunk云平台 | 10.1.2507 | Splunk Web | 低于10.1.2507.1 | 10.1.2507.1 |
缓解措施和临时解决方案
该漏洞影响已开启Splunk Web的实例,关闭Splunk Web是一个可行的临时解决方案。有关禁用Splunk Web的更多信息,请参阅《禁用不必要的Splunk企业版组件》和web.conf配置文件规范。
检测
无
严重程度
Splunk将此漏洞评为3.5分,低危,CVSSv3.1向量为CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N。
致谢
Anton (therceman)
电子邮件 RSS订阅 支持
© 2005 - 2025 Splunk Inc. 保留所有权利。 法律 隐私 网站使用条款