Splunk MCP Server应用中的SPL命令允许列表绕过漏洞披露

本文披露了Splunk MCP Server应用在0.2.4之前版本中存在的一个安全漏洞。攻击者可通过“run_splunk_query”工具的MCP工具,将SPL命令嵌入子搜索来绕过允许列表控制,从而执行超出MCP限制的未授权操作。该漏洞CVSS评分为5.4,属于中等严重性。

SVD-2025-1210 | Splunk漏洞披露

首页 报告漏洞 常见问题 邮件列表 切换菜单 首页 报告漏洞 常见问题 邮件列表

在Splunk MCP Server应用中通过"run_splunk_query" MCP工具绕过SPL命令允许列表控制

公告 ID: SVD-2025-1210 CVE ID: CVE-2025-20381 发布日期: 2025-12-03 最后更新日期: 2025-12-03 CVSSv3.1 评分: 5.4,中等 CVSSv3.1 向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L CWE: CWE-863 Bug ID: VULN-41183

描述

在Splunk MCP Server应用低于0.2.4的版本中,有权访问“run_splunk_query”模型上下文协议(MCP)工具的用户,可以通过将SPL命令嵌入为子搜索来绕过MCP中的SPL命令允许列表控制,从而执行超出预期MCP限制的未授权操作。

解决方案

将Splunk MCP Server升级到0.2.4或更高版本。请参阅Splunk MCP Server发布说明。

产品状态

产品 基础版本 受影响版本 修复版本
Splunk MCP Server 0.2 低于0.2.4 0.2.4

缓解措施和变通方案

关闭Splunk MCP Server应用。请参阅“管理应用和附加组件对象”。

检测

严重性

Splunk将此漏洞评为5.4分,中等,CVSSv3.1向量为CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L。如果您不使用Splunk MCP Server,则应该没有影响,其严重性将为“信息性”。

致谢

Saket Pandey, Splunk 电子邮件 RSS源 支持 © 2005 - 2025 Splunk Inc. 保留所有权利。 法律 隐私 网站使用条款

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次