Splunk’ta, Windows için Enterprise ve Universal Forwarder ürünlerini etkileyen, kurulum ve yükseltmeler sırasında yanlış dosya izinlerinden kaynaklanan yüksek önem derecesine sahip bir güvenlik açığı açıklandı.
Splunk Enterprise için CVE-2025-20386 ve Universal Forwarder için CVE-2025-20387 olarak izlenen güvenlik açığı.
Yönetici olmayan kullanıcıların hassas kurulum dizinlerine ve içeriklerine erişmesine izin vererek ayrıcalık yükseltme saldırıları için bir yol oluşturur.
Yüksek Sistem Erişimi Kazanmak İçin Uygunsuz Dosya İzinleri
Kusur, etkilenen Splunk ürünlerinin Windows sistemlerine yeni kurulumu veya sürüm yükseltmeleri sırasında ortaya çıkıyor.
Kurulum işlemi, Enterprise için C:\Program Files\Splunk ve Universal Forwarder için C:\Program Files\SplunkUniversalForwarder varsayılan kurulum dizinlerine izinleri hatalı şekilde atar.
Bu yanlış yapılandırma, ayrıcalığı olmayan yerel kullanıcılara hassas yapılandırma dosyalarına okuma ve yazma erişimi sağlar.
| Metrik | Detaylar |
|---|---|
| CVE Kimliği | CVE-2025-20386 (Kurumsal), CVE-2025-20387 (Yönlendirici) |
| CVSS Puanı | 8,0 (Yüksek) |
| CVSS vektör | CVSS: 3.1/AV: n/Ac: l/pr: l/ui: r/s: u/c: h/i: h/a: h |
| CWE | CWE-732 (Yanlış İzin Ataması) |
Yürütülebilir ikili dosyalar ve diğer kritik bileşenler yöneticilerle sınırlı kalmalıdır.
Yerel erişimi olan bir saldırgan, sistem yapılandırmasını değiştirmek, kötü amaçlı kod eklemek veya ayrıcalıklarını yönetici düzeyine yükseltmek için bu izinlerden yararlanabilir.
Splunk, her iki güvenlik açığını da CVSS 8.0 (Yüksek önem derecesi) olarak derecelendirir ve bu, etkilenen ortamlara yönelik önemli riski yansıtır.
Saldırı vektörü ağa bitişiktir ve kimliği doğrulanmış erişim ve kullanıcı etkileşimi gerektirir. Ancak etki, etkilenen sistemlerin gizliliğini, bütünlüğünü ve kullanılabilirliğini kapsar.
Derhal düzeltme için yamalı sürümlere yükseltme yapılması gerekir: Splunk Enterprise 10.0.2, 9.4.6, 9.3.8 veya 9.2.10 ve Universal Forwarder 10.0.2, 9.4.6, 9.3.8 veya 9.2.10.
Hemen yükseltme yapamayan kuruluşlar için Splunk, dizin izinlerini yeniden yapılandırmak amacıyla icacls komutlarını kullanarak azaltma adımları sağlar. Uygunsuz erişim haklarının kaldırılması ve uygun miras kontrollerinin yeniden uygulanması.
Splunk Enterprise’ın Fortune 500 şirketleri ve devlet kurumları genelindeki güvenlik operasyonlarındaki önemi göz önüne alındığında, kuruluşların yama uygulamaya öncelik vermesi gerekir.
Güvenlik açığı, desteklenen tüm Windows sürümlerini etkiliyor ve korunan ortamlarda kullanılması durumunda önemli bir tedarik zinciri riski oluşturuyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
