CVE-2025-20387 - Splunk Windows 通用转发器在新安装或升级过程中的错误权限分配

概述

漏洞描述

在低于 10.0.2、9.4.6、9.3.8 和 9.2.10 版本的 Splunk Windows 通用转发器中，进行新安装或升级到受影响版本时，可能导致 Windows 安装目录的权限分配错误。这使得机器上的非管理员用户能够访问该目录及其所有内容。

关键时间

发布日期: 2025年12月3日下午5:15
最后修改日期: 2025年12月4日下午5:15
远程利用可能性: 否
信息来源: psirt@cisco.com

受影响产品

下表列出了受 CVE-2025-20387 漏洞影响的产品。即使 cvefeed.io 知晓受影响产品的确切版本，下表也未包含该信息。

ID	供应商	产品	操作
1	Splunk	splunk

受影响的供应商总数: 1
受影响的产品数: 1

CVSS 评分

通用漏洞评分系统 (CVSS) 是评估软件和系统中漏洞严重性的标准化框架。我们收集并展示每个 CVE 来自不同来源的 CVSS 分数。

分数	版本	严重性	向量	可利用性分数	影响分数	来源
8	CVSS 3.1	高				d1c1063e-7a18-46af-9102-31f8928bc633
8.0	CVSS 3.1	高		2.1	5.9	psirt@cisco.com

解决方案

将 Splunk 通用转发器更新到已修复的版本，以更正目录权限。

将 Splunk 通用转发器更新到安全版本。
验证安装目录权限。
确保只有管理员可以访问该目录。

URL	资源
https://advisory.splunk.com/advisories/SVD-2025-1206

CWE - 常见弱点枚举

CWE 对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-20387 与以下 CWE 相关联：

CWE-732: 关键资源的权限分配不正确

常见攻击模式枚举与分类 (CAPEC)

常见攻击模式枚举与分类 (CAPEC) 存储攻击模式，这些模式描述了攻击者利用 CVE-2025-20387 弱点所采用的常见属性和方法。

CAPEC-1: 访问ACL未正确限制的功能
CAPEC-17: 使用恶意文件
CAPEC-60: 重用会话ID
CAPEC-61: 会话固定
CAPEC-62: 跨站请求伪造
CAPEC-122: 权限滥用
CAPEC-127: 目录索引
CAPEC-180: 利用配置错误的访问控制安全级别
CAPEC-206: 签署恶意代码
CAPEC-234: 劫持特权进程
CAPEC-642: 替换二进制文件

GitHub 概念验证

我们扫描 GitHub 仓库以检测新的概念验证利用。以下列表是已发布在 GitHub 上的公共漏洞利用和概念验证的集合（按最近更新排序）。由于潜在的性能问题，结果限制在前 15 个仓库。

漏洞时间线

下表列出了 CVE-2025-20387 漏洞随时间发生的变化。漏洞历史记录详细信息可用于了解漏洞的演变，并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

新 CVE 接收 (psirt@cisco.com) - 2025年12月3日

操作	类型	新值
添加	描述	在低于 10.0.2、9.4.6、9.3.8 和 9.2.10 版本的 Splunk Windows 通用转发器中，进行新安装或升级到受影响版本时，可能导致 Windows 安装目录的权限分配错误。这使得机器上的非管理员用户能够访问该目录及其所有内容。
添加	CVSS V3.1	AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
添加	CWE	CWE-732
添加	参考	https://advisory.splunk.com/advisories/SVD-2025-1206

EPSS 评分

EPSS（漏洞利用预测评分系统）是对未来30天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的 EPSS 分数历史记录。

漏洞评分详情

CVSS 3.1

基础 CVSS 分数: 8

攻击向量: 网络 攻击复杂度: 低 所需权限: 低 用户交互: 需要 作用域: 未改变 机密性影响: 高 完整性影响: 高 可用性影响: 高

Splunk Windows 转发器权限配置漏洞分析 (CVE-2025-20387)

本文详细分析了CVE-2025-20387漏洞，该漏洞影响Windows平台上的Splunk通用转发器，在新安装或升级过程中会错误地分配安装目录权限，导致非管理员用户能够访问其全部内容。