Birden fazla Splunk Enterprise Güvenlik Açıkları, saldırganların yetkisiz JavaScript kodu yürütmesine izin veriyor


Splunk kurumsal güvenlik açıkları

SPLUNK, işletme ve bulut platform ürünlerinde birden fazla güvenlik açığı için yamalar yayınladı, bunlardan bazıları saldırganların yetkisiz JavaScript kodu yürütmesine, duyarlı bilgilere erişmesine veya bir hizmet reddi (DOS) durumuna neden olabilmesine izin verebilir.

1 Ekim 2025’te yayınlanan tavsiyeler, orta ila yüksek olan şiddet derecelendirmeleri ile altı güvenlik kusurunu detaylandırıyor.

En kritik güvenlik açığı, yüksek CVSS skoru 7.5 olan CVE-2025-20371 olarak izlenen sunucu tarafı istekli bir Arıcılığa (SSRF) kusurdur.

Bu güvenlik açığı, kimlik doğrulanmamış bir saldırganın kör bir SSRF’yi tetiklemesine izin vererek, potansiyel olarak kimliği doğrulanmış, yüksek ayrıcalıklı bir kullanıcı adına dinlenme API çağrıları yapmalarını sağlayabilir.

Başarılı sömürü gerektirir enableSplunkWebClientNetloc Etkinleştirilecek ve muhtemelen kurbanın tarayıcılarından bir talep başlatması için kimlikten kaçınmayı içerir.

Kod yürütme ve bilgi açıklama kusurları

İki güvenlik açığı doğrudan, bir tür bölgeler arası komut dosyası (XSS) olan yetkisiz JavaScript kodunun yürütülmesini doğrudan ele alır.

google

  • CVE-2025-20367 (CVSS: 5.7): Düşük privileged kullanıcı, kötü amaçlı bir yük getirebilir dataset.command Bir kullanıcının tarayıcısında JavaScript kodunun yürütülmesine yol açan belirli bir uç noktanın parametresi.
  • CVE-2025-20368 (CVSS: 5.7): Benzer şekilde, düşük ayrıcalıklı bir kullanıcı, kaydedilmiş bir aramanın hata mesajlarına ve iş denetim detaylarına kötü amaçlı bir yük enjekte edebilir ve bu da yetkisiz kod yürütülmesine neden olur.

Bir başka önemli kusur olan CVE-2025-20366 (CVSS: 6.5), bilgi açıklamasına izin verir. Bu senaryoda, ‘yönetici’ veya ‘güç’ rolleri olmayan düşük ayrıcalıklı bir kullanıcı, arka planda çalışan bir idari arama işinin sonuçlarına erişebilir.

Saldırgan işin benzersiz arama kimliğini (SID) doğru bir şekilde tahmin ederse, potansiyel olarak hassas arama sonuçlarını alabilirler.

Hizmet reddi ve XXE güvenlik açıkları

Güvenlik Güncellemesi ayrıca sistem kullanılabilirliğini ve bütünlüğünü etkileyebilecek üç orta yüzlük güvenlik açığını da ele almaktadır:

  • CVE-2025-20370 (CVSS: 4.9): change_authentication Yetenek, dahili bir uç noktaya birden fazla LDAP bağlama isteği gönderebilir, bu da yüksek CPU kullanımına ve çözülmesi için bir örnek yeniden başlatma gerektiren potansiyel bir DOS’a neden olabilir.
  • CVE-2025-20369 (CVSS: 4.6): Düşük privileged bir kullanıcı, gösterge paneli sekmesi etiket alanı boyunca bir DOS saldırısına yol açabilecek bir XML harici varlık (XXE) enjeksiyonu gerçekleştirebilir.

Etkilenen ürünler ve hafifletmeler

Güvenlik açıkları, Splunk Enterprise ve Splunk Cloud platformunun birçok versiyonunu etkiler. Etkilenen Splunk Enterprise sürümleri 9.4.4, 9.3.6 ve 9.2.8’in altında olanları içerir. Bazı kusurlar için 10.0.0 sürümü de etkilenir.

Splunk, yamalar yayınladı ve müşterileri aşağıdaki veya sonraki sürümlere yükseltmeye çağırıyor:

CVE kimliği Güvenlik Açığı Türü CVSS 3.1 puanı Etkilenen ürün Etkilenen sürümler Sabit sürümler
CVE-2025-20366 Bilgi Açıklama 6.5 (Orta) Splunk Enterprise 9.4.0 – 9.4.3 9.3.0 – 9.3.5 9.2.0 – 9.2.7 9.4.4 9.3.6 9.2.8
Splunk Bulut Platformu 9.3.2411.111’in altında 9.3.2408.119 altında 9.2.2406.122 9.3.2411.111 9.3.2408.119 9.2.2406.122
CVE-2025-20367 Siteler Arası Komut Dosyası (XSS) 5.7 (Orta) Splunk Enterprise 9.4.0 – 9.4.3 9.3.0 – 9.3.5 9.2.0 – 9.2.7 9.4.4 9.3.6 9.2.8
Splunk Bulut Platformu 9.3.2411.109’un altında 9.3.2408.119 Altında 9.2.2406.122 9.3.2411.109 9.3.2408.119 9.2.2406.122
CVE-2025-20368 Siteler Arası Komut Dosyası (XSS) 5.7 (Orta) Splunk Enterprise 9.4.0 – 9.4.3 9.3.0 – 9.3.5 9.2.0 – 9.2.7 9.4.4 9.3.6 9.2.8
Splunk Bulut Platformu 9.3.2411.108’in altında 9.3.2408.118 Altında 9.2.2406.123 9.3.2411.108 9.3.2408.118 9.2.2406.123
CVE-2025-20369 XXE enjeksiyonu 4.6 (Orta) Splunk Enterprise 9.4.0 – 9.4.3 9.3.0 – 9.3.5 9.2.0 – 9.2.7 9.4.4 9.3.6 9.2.8
Splunk Bulut Platformu 9.3.2411.108’in altında 9.3.2408.118 Altında 9.2.2406.123 9.3.2411.108 9.3.2408.118 9.2.2406.123
CVE-2025-20370 Hizmet Reddi (DOS) 4.9 (Orta) Splunk Enterprise 10.0.0 9.4.0 – 9.4.3 9.3.0 – 9.3.5 9.2.0 – 9.2.7 10.0.1 9.4.4 9.3.6 9.2.8
Splunk Bulut Platformu 9.3.2411.108’in altında 9.3.2408.118 Altında 9.2.2406.123 9.3.2411.108 9.3.2408.118 9.2.2406.123
CVE-2025-20371 Sunucu tarafı isteği asmeri (SSRF) 7.5 (yüksek) Splunk Enterprise 10.0.0 9.4.0 – 9.4.3 9.3.0 – 9.3.5 9.2.0 – 9.2.7 10.0.1 9.4.4 9.3.6 9.2.8
Splunk Bulut Platformu 9.3.2411.109’un altında 9.3.2408.119 Altında 9.2.2406.122 9.3.2411.109 9.3.2408.119 9.2.2406.122

Splunk, tüm Splunk Cloud Platform örneklerini aktif olarak yamaladığını ve tamamlandıktan sonra müşterileri bilgilendireceğini doğruladı.

Güncellemeleri hemen uygulayamayan kullanıcılar için birkaç geçici çözüm mevcuttur. Güvenlik açıklarının birçoğu için ortak bir hafifletme, gerekli değilse Splunk Web’i devre dışı bırakmaktır.

SSRF kusuru için (CVE-2025-20371), yöneticiler belirleyerek riski azaltabilir enableSplunkWebClientNetloc ile false içinde web.conf dosya.

Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.

GoogleNews



Source link