SVD-2025-1206 | Splunk 漏洞披露
主页 报告漏洞 常见问题 邮件列表 切换菜单 主页 报告漏洞 常见问题 邮件列表
在 Windows 版 Splunk Universal Forwarder 全新安装或升级期间的不正确权限分配
公告 ID: SVD-2025-1206 CVE ID: CVE-2025-20387 发布日期: 2025-12-03 最后更新: 2025-12-03 CVSSv3.1 评分: 8.0,高危 CVSSv3.1 向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CWE: CWE-732 漏洞 ID: VULN-39497
描述
在版本低于 10.0.2、9.4.6、9.3.8 和 9.2.10 的 Windows 版 Splunk Universal Forwarder 中,安装受影响版本的新实例或进行升级可能导致 Universal Forwarder for Windows 安装目录(默认为 C:\Program Files\SplunkUniversalForwarder)的权限分配不正确。这使得机器上的非管理员用户可以访问该目录及其所有内容。
解决方案
将 Splunk Universal Forwarder 升级到版本 10.0.2、9.4.6、9.3.8、9.2.10 或更高版本。
产品状态
| 产品 | 基础版本 | 受影响版本 | 修复版本 |
|---|---|---|---|
| Splunk Universal Forwarder | 10.0 | 低于 10.0.2 | 10.0.2 |
| Splunk Universal Forwarder | 9.4 | 9.4.0 至 9.4.5 | 9.4.6 |
| Splunk Universal Forwarder | 9.3 | 9.3.0 至 9.3.7 | 9.3.8 |
| Splunk Universal Forwarder | 9.2 | 9.2.0 至 9.2.9 | 9.2.10 |
缓解措施与变通方案
如果无法升级到已修复的 Windows 版 Splunk Universal Forwarder 版本,请执行以下缓解措施。
在安装或升级 Windows 版 Splunk Universal Forwarder 后,以 Windows 系统管理员身份,在命令提示符或 PowerShell 窗口中按顺序运行以下命令:
icacls.exe "<path\to\installation\directory>" /inheritance:dicacls.exe "<path\to\installation\directory>" /remove:g *BU /T /Cicacls.exe "<path\to\installation\directory>" /remove:g *S-1-5-11 /T /Cicacls.exe "<path\to\installation\directory\*>" /inheritance:e /T /C
检测
无
严重性
Splunk 将此漏洞评为 8.0 分(高危),其 CVSSv3.1 向量为 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H。
更新日志
- 2025-12-17: 修复了“缓解措施”部分的一个错误。第四步命令中的目录路径末尾缺少通配符
*。已从icacls.exe "<path\to\installation\directory\>" /inheritance:e /T /C更新为icacls.exe "<path\to\installation\directory\*>" /inheritance:e /T /C。
电子邮件 RSS 订阅 支持 © 2005 - 2025 Splunk Inc. 保留所有权利。 法律 隐私 网站使用条款