首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Splunk遠程代碼執行漏洞(CVE-2025-20229)

發布時間 2025-03-27

一、漏洞概述


漏洞名稱

Splunk遠程代碼執行漏洞

CVE   ID

CVE-2025-20229

漏洞類型

遠程代碼執行

發現時間

2025-03-27

漏洞評分

8.0

漏洞等級

高危

攻擊向量

網絡

所需權限

利用難度

用戶交互

需要

PoC/EXP

未公開

在野利用

未發現


Splunk Enterprise是一款強大的數據分析平臺,專注于機器數據的收集、監控和分析,廣泛應用于日志管理、安全信息事件管理(SIEM)和IT運維,能夠幫助組織實時獲取操作數據、檢測異常、分析趨勢,并提供可視化報表和警報功能。Splunk Cloud Platform是Splunk的云版本,提供與Enterprise相同的數據分析功能,但以SaaS形式運行,用戶無需自行管理基礎設施。它適用于需要高度可擴展性和靈活性的企業,支持跨平臺、跨環境的數據分析和管理,幫助組織高效處理大數據,并實現深入的智能洞察。


2025年3月27日,啟明星辰集團VSRC監測到Splunk發布的安全公告,公告指出Splunk Enterprise和Splunk Cloud Platform存在一個高危漏洞。在特定版本中,低權限用戶(未持有"admin"或"power"角色)由于缺乏必要的授權檢查,可能通過將文件上傳至“$SPLUNK_HOME/var/run/splunk/apptemp”目錄,從而執行遠程代碼(RCE)。


二、影響范圍


9.3.2408.100 <= Splunk Cloud Platform <= 9.3.2408.103
9.2.2406.100 <= Splunk Cloud Platform <= 9.2.2406.107
Splunk Cloud Platform < 9.2.2403.113
Splunk Cloud Platform < 9.1.2312.207
9.3.0 <= Splunk Enterprise <= 9.3.2
9.2.0 <= Splunk Enterprise 9.2.4
9.1.0 <= Splunk Enterprise 9.1.7


三、安全措施


3.1 升級版本


官方已發布修復版本,建議受影響用戶盡快更新。


Splunk Enterprise 9.4升級到9.4.0
Splunk Enterprise 9.3受影響版本升級到9.3.3
Splunk Enterprise 9.2受影響版本升級到9.2.5
Splunk Enterprise 9.1受影響版本升級到9.1.8
Splunk Cloud Platform 9.3.2408受影響版本升級到9.3.2408.104
Splunk Cloud Platform 9.2.2406受影響版本升級到9.2.2406.108
Splunk Cloud Platform 9.2.2403受影響版本升級到9.2.2403.114
Splunk Cloud Platform 9.1.2312受影響版本升級到9.1.2312.208


下載鏈接:https://www.splunk.com/en_us/download.html/


3.2 臨時措施


暫無。


3.3 通用建議


? 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。
加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網絡安全性能。
加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
啟用強密碼策略并設置為定期修改。


3.4 參考鏈接


https://advisory.splunk.com/advisories/SVD-2025-0301

上一篇 下一篇