Splunk Enterprise Kusurları, saldırganların yetkisiz JavaScript kodu çalıştırmasına izin verir


Splunk, Splunk Enterprise ve Splunk Cloud platformunun çeşitli sürümlerini etkileyen birden fazla güvenlik açıkını ele alan güvenlik danışmanları yayınladı.

Kusurlar, siteler arası komut dosyası (XSS) güvenlik açıklarından, CVSS puanları 4.6 ila 7.5 arasında değişen kontrol bypass’larına kadar değişir.

Kritik güvenlik açıkları tanımlandı

Güvenlik danışmanları, öncelikle Splunk Web bileşenlerini etkileyen altı ayrı güvenlik açıkını ortaya koymaktadır.

İki siteler arası komut dosyası kusurları, düşük ayrıcalıklı kullanıcıların kurban tarayıcılarında kötü amaçlı JavaScript kodu yürütmesini sağlar.

CVE kimliği Danışmanlık kimliği Güvenlik Açığı Türü CVSS Puanı
CVE-2025-20366 SVD-2025-1001 Yanlış Erişim Kontrolü 6.5 (Orta)
CVE-2025-20367 SVD-2025-1002 Yansıtılan XSS 5.7 (Orta)
CVE-2025-20368 SVD-2025-1003 Depolanmış XSS 5.7 (Orta)
CVE-2025-20369 SVD-2025-1004 XML Harici Varlık (XXE) 4.6 (Orta)
CVE-2025-20370 SVD-2025-1005 Hizmet Reddi (DOS) 4.9 (Orta)
CVE-2025-20371 SVD-2025-1006 Sunucu tarafı isteği asmeri (SSRF) 7.5 (yüksek)

CVE-2025-20367, DataSet.Command parametresi üzerinden/App/Search/Tablo uç noktasını hedeflerken, CVE-2025-20368, kaydedilmiş aramalardaki hata mesajlarını ve iş denetim ayrıntılarını kullanır.

En şiddetli güvenlik açığı olan CVE-2025-20371, CVSS ölçeğinde 7.5 puan aldı ve kimlik doğrulanmamış kör sunucu tarafı istek amplifikat saldırısı temsil ediyor.

Bu kusur, saldırganların, belirli yapılandırma ayarları ve kullanıcı etkileşimi gerektirmesine rağmen, doğrulanmış yüksek ayrıcalıklı kullanıcılar adına REST API çağrıları gerçekleştirmesine izin verebilir.

CVE-2025-20366, düşük ayrıcalıklı kullanıcıların arka plan yönetici işlerinden benzersiz arama kimliklerini tahmin ederek hassas arama sonuçlarına erişebilecekleri uygunsuz bir erişim kontrol sorunu sunar.

Bu güvenlik açığı CVSS ölçeğinde 6.5 puan aldı ve arka plan iş sunumlarının temel işlevselliğini etkiliyor.

Ek güvenlik açıkları arasında CVE-2025-20369, hizmet reddi saldırılarına neden olabilecek gösterge paneli etiket alanları aracılığıyla bir XML harici varlık enjeksiyonu ve yüksek kısaltılmış kullanıcıların birden fazla LDAP bağlama istekleri aracılığıyla DOS koşullarını tetiklemelerini sağlayan CVE-2025-20370 bulunur.

Etkilenen ürünler ve versiyonlar

Güvenlik açıkları, 9.4.4, 9.3.6 ve 9.2.8’in altındaki birden fazla Splunk Enterprise sürümünü etkiler. Belirli derleme numaralarının altındaki Splunk Bulut Platformu sürümleri de etkilenir.

Özellikle, Splunk Enterprise 10.0.0, LDAP DOS ve SSRF saldırılarına karşı savunmasızdır, ancak XSS ve erişim kontrol sorunlarından etkilenmez.

Tüm güvenlik açıkları, SSRF kusurunun geri kalan API’sını etkilemesi haricinde öncelikle Splunk Web bileşenini hedefler.

Ortak saldırı vektörü, sistem bütünlüğünü tehlikeye atmak veya yetkisiz verilere erişim için web tabanlı arayüzlerden yararlanan düşük ayrı ayrı kullanıcıları içerir.

Etkilenen Splunk sürümlerini kullanan kuruluşlar, Splunk Enterprise için hemen en son yama sürümlerine yükseltilmelidir: 10.0.1, 9.4.4, 9.3.6 veya 9.2.8. Splunk, bulut platform örneklerini otomatik olarak aktif olarak izliyor ve yamalıyor.

Anında yama yapmanın mümkün olmadığı ortamlar için, yöneticiler birkaç geçici çözüm uygulayabilir.

Splunk Web’in devre dışı bırakılması, işlevselliği etkilemesine rağmen, çoğu güvenlik açıkına karşı koruma sağlar. SSRF güvenlik açığı için, Web.conf yapılandırma dosyasında falseplunkwebclientnetloc’u false olarak ayarlamak riski azaltır.

LDAP DOS güvenlik açığı, bu yüksek özellikli erişim seviyesini gerektirmeyen kullanıcı rollerinden CHARCH_Authentication özelliğini kaldırarak hafifletilebilir.

Bu güvenlik açıkları, güncellenmiş Splunk kurulumlarının korunmasının ve uygun erişim kontrollerinin uygulanmasının önemini vurgulamaktadır.

Kuruluşlar, kullanıcı ayrıcalıklarını düzenli olarak gözden geçirmeli ve düşük ayrıcalıklı hesapların en az gerekli izinlere sahip olmasını sağlamalıdır.

Güvenlik ekipleri, olağandışı arama iş erişim modellerini izlemeli ve potansiyel SSRF saldırılarının etkisini sınırlamak için ağ segmentasyonunu uygulamalıdır.

Splunk konfigürasyonlarının düzenli güvenlik değerlendirmeleri, savunmasız ayarların kullanılmadan önce tanımlanmasına yardımcı olabilir.

Birden fazla XSS güvenlik açığının keşfi, web uygulamalarında, özellikle kullanıcı tarafından oluşturulan içeriği ve arama sorgularını işleyen giriş doğrulama ve çıkış kodlama ihtiyacını vurgular.

Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.



Source link