Компания Splunk выпустила набор рекомендаций по безопасности, направленных на устранение множества уязвимостей в различных версиях платформ Splunk Enterprise и Splunk Cloud. Обнаруженные недостатки варьируются от межсайтового скриптинга (XSS) до обходов контроля доступа, с оценками по шкале CVSS от 4.6 до 7.5 баллов.
Детали уязвимостей
Эксперты идентифицировали шесть различных уязвимостей, которые в основном затрагивают веб-компоненты Splunk Web. Две уязвимости межсайтового скриптинга позволяют пользователям с низкими привилегиями выполнять вредоносный код JavaScript в браузерах жертв. Наиболее серьезная проблема, получившая идентификатор CVE-2025-20371, оценена в 7.5 баллов по шкале CVSS и представляет собой атаку типа "подделка межсайтовых запросов" (SSRF) без необходимости аутентификации. Эта уязвимость потенциально позволяет злоумышленникам выполнять вызовы REST API от имени аутентифицированных пользователей с высокими привилегиями, хотя для успешной эксплуатации требуются определенные конфигурационные настройки и взаимодействие с пользователем.
Уязвимость CVE-2025-20366 представляет собой проблему неправильного контроля доступа, когда пользователи с низкими привилегиями могут получать доступ к конфиденциальным результатам поиска путем подбора уникальных идентификаторов поиска из фоновых административных заданий. Эта проблема оценивается в 6.5 баллов и затрагивает основную функциональность фоновой отправки заданий.
Среди дополнительных уязвимостей выделяется CVE-2025-20369 - внедрение внешних сущностей XML через поля меток информационных панелей (dashboard), что может привести к атакам типа "отказ в обслуживании". Уязвимость CVE-2025-20370 позволяет пользователям с высокими привилегиями инициировать условия отказа в обслуживании через множественные запросы привязки LDAP.
Затронутые продукты и версии включают различные выпуски Splunk Enterprise ниже версий 9.4.4, 9.3.6 и 9.2.8. Версии Splunk Cloud Platform ниже определенных номеров сборки также подвержены воздействию. Примечательно, что Splunk Enterprise 10.0.0 уязвима для атак LDAP DoS и SSRF, но не подвержена проблемам XSS и контроля доступа. Все уязвимости в основном нацелены на компонент Splunk Web, за исключением недостатка SSRF, который затрагивает REST API.
Общий вектор атаки предполагает использование пользователями с низкими привилегиями веб-интерфейсов для компрометации целостности системы или получения несанкционированного доступа к данным. Организациям, использующим уязвимые версии Splunk, рекомендуется немедленно обновиться до последних исправленных выпусков: 10.0.1, 9.4.4, 9.3.6 или 9.2.8 для Splunk Enterprise. Компания Splunk активно отслеживает и автоматически исправляет экземпляры Cloud Platform.
Для сред, где немедленное применение исправлений невозможно, администраторы могут реализовать несколько временных решений. Отключение Splunk Web защищает от большинства уязвимостей, хотя это может повлиять на функциональность. Для уязвимости SSRF установка параметра enableSplunkWebClientNetloc в значение false в конфигурационном файле web.conf снижает риск. Уязвимость LDAP DoS можно смягчить путем удаления возможности change_authentication из ролей пользователей, которым не требуется этот высокий уровень привилегий.
Обнаружение множественных уязвимостей XSS подчеркивает необходимость проверки входных данных и кодирования вывода в веб-приложениях, особенно тех, которые обрабатывают пользовательский контент и поисковые запросы. Эти уязвимости демонстрируют важность поддержания обновленных установок Splunk и реализации надлежащего контроля доступа. Организациям следует регулярно пересматривать привилегии пользователей и обеспечивать минимально необходимые разрешения для учетных записей с низкими привилегиями.
Командам безопасности рекомендуется отслеживать необычные шаблоны доступа к заданиям поиска и внедрять сетевую сегментацию для ограничения воздействия потенциальных атак SSRF. Регулярные оценки безопасности конфигураций Splunk могут помочь выявить уязвимые настройки до их эксплуатации. Своевременное применение исправлений и соблюдение принципа минимальных привилегий остаются ключевыми мерами защиты от подобных угроз в сложных корпоративных средах.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-20366
- https://www.cve.org/CVERecord?id=CVE-2025-20367
- https://www.cve.org/CVERecord?id=CVE-2025-20368
- https://www.cve.org/CVERecord?id=CVE-2025-20369
- https://www.cve.org/CVERecord?id=CVE-2025-20370
- https://www.cve.org/CVERecord?id=CVE-2025-20371
- https://advisory.splunk.com/advisories/SVD-2025-1001
- https://advisory.splunk.com/advisories/SVD-2025-1002
- https://advisory.splunk.com/advisories/SVD-2025-1003
- https://advisory.splunk.com/advisories/SVD-2025-1004
- https://advisory.splunk.com/advisories/SVD-2025-1005
- https://advisory.splunk.com/advisories/SVD-2025-1006
