首页 > 安全研究 > 安全通报 > 安全通告

【漏洞通告】Splunk远程代码执行漏洞(CVE-2025-20229)

发布时间 2025-03-27

一、漏洞概述


漏洞名称

Splunk远程代码执行漏洞

CVE   ID

CVE-2025-20229

漏洞类型

远程代码执行

发现时间

2025-03-27

漏洞评分

8.0

漏洞等级

高危

攻击向量

网络

所需权限

利用难度

用户交互

需要

PoC/EXP

未公开

在野利用

未发现


Splunk Enterprise是一款强大的数据分析平台,专注于机器数据的收集、监控和分析,广泛应用于日志管理、安全信息事件管理(SIEM)和IT运维,能够帮助组织实时获取操作数据、检测异常、分析趋势,并提供可视化报表和警报功能。Splunk Cloud Platform是Splunk的云版本,提供与Enterprise相同的数据分析功能,但以SaaS形式运行,用户无需自行管理基础设施。它适用于需要高度可扩展性和灵活性的企业,支持跨平台、跨环境的数据分析和管理,帮助组织高效处理大数据,并实现深入的智能洞察。


2025年3月27日,启明星辰集团VSRC监测到Splunk发布的安全公告,公告指出Splunk Enterprise和Splunk Cloud Platform存在一个高危漏洞。在特定版本中,低权限用户(未持有"admin"或"power"角色)由于缺乏必要的授权检查,可能通过将文件上传至“$SPLUNK_HOME/var/run/splunk/apptemp”目录,从而执行远程代码(RCE)。


二、影响范围


9.3.2408.100 <= Splunk Cloud Platform <= 9.3.2408.103
9.2.2406.100 <= Splunk Cloud Platform <= 9.2.2406.107
Splunk Cloud Platform < 9.2.2403.113
Splunk Cloud Platform < 9.1.2312.207
9.3.0 <= Splunk Enterprise <= 9.3.2
9.2.0 <= Splunk Enterprise 9.2.4
9.1.0 <= Splunk Enterprise 9.1.7


三、安全措施


3.1 升级版本


官方已发布修复版本,建议受影响用户尽快更新。


Splunk Enterprise 9.4升级到9.4.0
Splunk Enterprise 9.3受影响版本升级到9.3.3
Splunk Enterprise 9.2受影响版本升级到9.2.5
Splunk Enterprise 9.1受影响版本升级到9.1.8
Splunk Cloud Platform 9.3.2408受影响版本升级到9.3.2408.104
Splunk Cloud Platform 9.2.2406受影响版本升级到9.2.2406.108
Splunk Cloud Platform 9.2.2403受影响版本升级到9.2.2403.114
Splunk Cloud Platform 9.1.2312受影响版本升级到9.1.2312.208


下载链接:https://www.splunk.com/en_us/download.html/


3.2 临时措施


暂无。


3.3 通用建议


• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
• 使用企业级安全产品,提升企业的网络安全性能。
• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
• 启用强密码策略并设置为定期修改。


3.4 参考链接


https://advisory.splunk.com/advisories/SVD-2025-0301

上一篇 下一篇