Splunk, hem Splunk Enterprise hem de Splunk Cloud platformunun birden fazla sürümünü etkileyen altı kritik güvenlik açığını açıkladı. Splunk’ın web bileşenlerindeki ciddi zayıflıkları toplu olarak vurgulayan bu Splunk güvenlik açıkları, saldırganların yetkisiz JavaScript kodunu uzaktan yürütmesine, duyarlı bilgilere erişmesine ve sunucu tarafı istek ambalajı (SSRF) saldırıları gerçekleştirmesine izin verebilir.
Temel Siteler Arası Komut Dosyası (XSS) Splunk Güvenlik Açıkları
En ilginç güvenlik açıkları arasında, kullanıcı tarayıcılarında kötü niyetli JavaScript yürütülmesine izin veren iki siteler arası komut dosyası (XSS) kusuru vardır. Özellikle, CVE-2025-20367, /app/arama/tablo son nokta, CVSS puanı 5.7 taşıyan. Yönetici veya güç rolleri olmayan düşük ayrıcalıklı kullanıcılar, kötü niyetli yükler hazırlayarak bu kusurdan yararlanabilir. dataSet.command parametre. Bu saldırı vektörü diğer kullanıcıların oturumlarını tehlikeye atabilir ve potansiyel olarak hassas verileri ortaya çıkarabilir.
Bir başka ilgili sorun olan CVE-2025-20368, kaydedilmiş arama ve iş müfettişi özelliklerinde eksik saha uyarı mesajları aracılığıyla depolanan XSS’yi içerir. Benzer şekilde, bu güvenlik açığı, düşük ayrıcalıklı kullanıcıların kötü amaçlı kod enjekte etmesini sağlar ve etkilenen sürümlerde önemli riskler oluşturur.
Sunucu tarafı istek asmeri ve diğer kusurlar
Özellikle şiddetli bir güvenlik açığı, 10.0.1, 9.4.4, 9.3.6 ve 9.2.8’in altındaki Splunk kurumsal sürümlerinin yanı sıra çeşitli Splunk Cloud platform sürümlerini etkileyen kimlik doğrulanmamış kör SSRF kusuru olan CVE-2025-20371’dir. 7.5 CVSS puanı ile bu güvenlik açığı, saldırganların Splunk’u kimliği doğrulanmış yüksek privilge kullanıcıları adına REST API çağrıları yapmaya zorlamalarını sağlar.
Ancak başarılı sömürü, EN EVITHPLUNKWEBClientnetloc Etkinleştiriliyor (gerçek) Web.conf yapılandırmasında ve genellikle kurbanı isteği başlatmaya kandırmak için kimlik avı gerektirir.
Ayrıca, kullanıcıların nerede olduğu bir hizmet reddi (DOS) güvenlik açığı (CVE-2025-20370) belirlendi change_authentication Ayrıcalık, sunucunun CPU’sunu ezerek ve etkilenen örneğin yeniden başlatılmasını zorlayarak birden fazla LDAP bağlama isteği gönderebilir. Bu güvenlik açığı 4,9’luk orta şiddet skoruna sahiptir.
Diğer güvenlik açıkları şunları içerir:
- CVE-2025-20369: XML Harici Varlık (XXE) Enjeksiyon Dashboard etiket alanından DOS saldırılarına neden olabilir.
- CVE-2025-20366: Arka plan iş gönderimlerindeki yanlış erişim kontrolü, düşük ayrıcalıklı kullanıcıların benzersiz arama iş kimliklerini tahmin ederek hassas arama sonuçlarına erişmelerini sağlar.
Üçüncü Taraf Paket Güvenlik Güncellemeleri
Splunk ayrıca Splunk Enterprise’da kullanılan üçüncü taraf paketlerden kaynaklanan birden fazla güvenlik açıkına da değindi. Aynı gün yayınlanan bu güncellemeler, 10.0.1, 9.4.4, 9.3.6, 9.2.8 ve üstü sürümleri etkiler. Anahtar değişiklikler şunları içerir:
- Gibi savunmasız paketlerin kaldırılması protobuf-java Ve webpack.
- Yükseltmeleri Moğod 7.0.14 sürümüne ve kıvrılmak Birden fazla yüksek aralıklı CVE’yi ele almak için 8.14.1’e.
- Yama libxml2 CVE-2025-32415’e karşı.
- Yükseltme Jackson çekirdeği V2.15.0’a ve Mongools 100.12.1’e.
Bu paket güncellemeleri, uzaktan kod yürütme veya diğer kötü amaçlı faaliyetler için kullanılabilecek güvenlik açıklarını doğrudan ele alır.
Azaltma ve Yama Önerileri
Splunk, belirlenen güvenlik açıklarını ele almak için etkilenen örneklerin sabit sürümlere yükseltilmesini şiddetle tavsiye eder:
- Splunk Enterprise: Sürümler 10.0.1, 9.4.4, 9.3.6, 9.2.8 veya daha yüksek.
- Splunk Bulut Platformu: Devam eden yama, Splunk tarafından aktif olarak yönetilir.
Anında yükseltmelerin mümkün olmadığı durumlarda, bazı hafifletmeler şunları içerir:
- Splunk Web’in bileşenlerine bağlı güvenlik açıklarını azaltmak için devre dışı bırakılması.
- Kapat EN EVITHPLUNKWEBClientnetloc SSRF riskini azaltmak için ayar.
- Yüksek ayrı rollerin kaldırılması change_authentication, DOS istismarlarını önlemek için.
Bu güvenlik açıkları için şu anda belirli bir algılama imzası bulunmamaktadır.