Splunk Enterprise platformunda önemli bir güvenlik açığı, düşük ayrıcalıklı saldırganların yansıtılan siteler arası komut dosyası (XSS) kusuruyla yetkisiz JavaScript kodu yürütmesine izin verebilir.
CVE-2025-20297 olarak izlenen güvenlik açığı, Splunk Enterprise ve Splunk Cloud platformunun birden fazla sürümünü etkiler ve şirketin anında güvenlik güncellemeleri yayınlamasını istemektedir.
Yansıtılan XSS güvenlik açığı, Splunk Enterprise’ın pano PDF üretim bileşeninde bulunur ve özellikle PDFGEN/RENDER REST uç noktasını hedefler.
.png
)
Splunk Enterprise XSS Güvenlik Açığı
Bu güvenlik kusuru, kurban tarayıcılarında keyfi JavaScript kodu yürütebilen kötü niyetli yükler oluşturmak için minimum sistem ayrıcalıklarına sahip saldırganları sağlar.
Güvenlik açığı, CWE-79 (siteler arası komut dosyası) altında sınıflandırılır ve orta yüzlük risk seviyesini gösteren 4.3’lük bir CVSSV3.1 puanı atanmıştır.
Saldırı vektörü özellikle ilgilidir, çünkü “yönetici” veya “güç” Splunk rolleri hariç, yalnızca düşük seviyeli kullanıcı ayrıcalıkları gerektirir.
Bu, sınırlı erişime sahip standart kullanıcıların potansiyel olarak diğer kullanıcıların oturumlarını tehlikeye atma kırılganlığından yararlanabileceği anlamına gelir.
CVSSV3.1 vektör dizesi CVSS: 3.1/av: n/ac: l/pr: l/ui: n/s: u/c: l/i: n/a: n, saldırının düşük ayrıcalıklar gerektirmeyen ancak kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıkla uzaktan yürütülebileceğini gösterir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Splunk Enterprise, tüm sürümler 9.4.2, 9.4.1, 9.3.0 ila 9.3.3 ve 9.2.0 ila 9.2.5. |
| Darbe | Yetkisiz JavaScript’in yürütülmesi |
| Önkoşuldan istismar | Düşük özelleştirilmiş kullanıcı (Admin Olmayan/Güç), Splunk Web’e doğrulanmış erişim |
| CVSS 3.1 puanı | 4.3 (Orta) |
Güvenlik açığı, çoklu sürüm dallarında çok çeşitli Splunk ürünlerini etkiler.
Splunk Enterprise için, etkilenen sürümler 9.4.2, 9.3.4 ve 9.2.6’nın altındaki tüm sürümleri içerir. Özellikle, 9.4.1, 9.3.0 ila 9.3.3 ve 9.2.0 ila 9.2.5 kurumsal sürümlerindeki Splunk Web bileşeni güvenlik açığını içerir.
Özellikle, Splunk Enterprise 9.1 sürümleri bu güvenlik sorunundan etkilenmez. Splunk Bulut Platformu kullanıcıları benzer şekilde etkilenir, 9.3.2411.102, 9.3.2408.111 ve 9.2.2406.118’in altındaki savunmasız sürümlerle.
Güvenlik açığı, Sprunk Web etkinleştirilmiş örnekleri özellikle etkiler, çünkü bu bileşen XSS kusurunun bulunduğu PDF üretim işlevini işler. Hata, Splunk’ın güvenlik ekibinden Klevis Luli tarafından keşfedildi.
Azaltma stratejileri
Splunk, bu güvenlik açığını ele almak için yamalı sürümlere anında yükseltmeyi önerir. Kurumsal kullanıcılar için önerilen düzeltme sürümleri 9.4.2, 9.3.4, 9.2.6 veya daha yüksektir.
Şirket, müşteri güvenliğini sağlamak için etkilenen Splunk bulut platform örneklerini aktif olarak izliyor ve otomatik olarak izliyor.
Geçici bir çözüm olarak, kuruluşlar Web işlevselliğini tamamen devre dışı bırakabilir ve güvenlik açığı özellikle Web arayüzünün PDF üretim bileşenini hedeflediğinden saldırı vektörünü etkili bir şekilde ortadan kaldırabilir.
Bu hafifletme, kullanıcı deneyimini ve gösterge tablosu işlevselliğini önemli ölçüde etkileyebilir, ancak Web.conf yapılandırma dosyası aracılığıyla uygulanabilir.
Güvenlik ekipleri, oturum kaçırma ve yetkisiz kod yürütme potansiyeli göz önüne alındığında bu güncellemeye öncelik vermelidir. Güvenlik açığı doğrulanmış erişim gerektirse de, düşük ayrıcalık gereksinimleri onu daha geniş bir potansiyel saldırgan yelpazesi için erişilebilir kılar.
Kuruluşlar ayrıca kullanıcı ayrıcalık ödevlerini gözden geçirmeli ve yamalar Splunk altyapılarına tamamen dağıtılana kadar PDFGEN/RENDER uç noktası etrafında ek izleme uygulamayı düşünmelidir.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri