Vysoko závažné zraniteľnosti v produktoch Splunk

Spoločnosť Splunk vydala bezpečnostné aktualizácie na svoje produkty Splunk Enterprise, Splunk Cloud Platform a Splunk Secure Gateway, ktoré opravujú 8 bezpečnostných zraniteľností, z čoho 2 sú označené ako vysoko závažné. CVE-2025-20229 možno zneužiť na vzdialené vykonanie kódu a CVE-2025-20231 na získanie neoprávneného prístupu k citlivým údajom. Aktualizácie taktiež opravujú viacero zraniteľností v komponentoch tretích strán, ktoré sú v rámci produktov využívané.

Zraniteľné systémy:

• Splunk Enterprise 9.4.X vo verziách starších ako 9.4.1
• Splunk Enterprise 9.3.X vo verziách starších ako 9.3.3
• Splunk Enterprise 9.2.X vo verziách starších ako 9.2.5
• Splunk Enterprise 9.1.X vo verziách starších ako 9.1.8
• Splunk Cloud Platform  9.3.2408.X vo verziách starších ako 9.3.2408.104
• Splunk Cloud Platform  9.2.2406.X vo verziách starších ako 9.2.2406.108
• Splunk Cloud Platform  9.2.2403.X vo verziách starších ako 9.2.2403.114
• Splunk Cloud Platform  9.1.2312.X vo verziách starších ako 9.1.2312.208
• Splunk Cloud Platform  9.1.2308.X vo verziách starších ako 9.1.2308.214
• Splunk Secure Gateway 3.8.X vo verziách starších ako 3.8.38
• Splunk Secure Gateway 3.7.X vo verziách starších ako 3.7.23
• Splunk App for Data Science and Deep Learning               vo verziách starších ako 5.2.0
• Splunk Add-on for Microsoft Cloud Services 5.4.X vo verziách starších ako 5.4.3
• Splunk Infrastructure Monitoring Add-on vo verziách starších ako 1.2.7
• Dockerové image splunk/splunk 9.4.X vo verziách starších ako 9.4.1
• Dockerové image splunk/splunk 9.3.X vo verziách starších ako 9.3.3
• Dockerové image splunk/splunk 9.2.X vo verziách starších ako 9.2.5
• Dockerové image splunk/splunk 9.1.X vo verziách starších ako 9.1.8
• Dockerové image splunk/universalforwarder 9.4.X vo verziách starších ako 9.4.1
• Dockerové image splunk/universalforwarder 9.3.X vo verziách starších ako 9.3.3
• Dockerové image splunk/universalforwarder 9.2.X vo verziách starších ako 9.2.5
• Dockerové image splunk/universalforwarder 9.1.X vo verziách starších ako 9.1.8

Opis činnosti:

Vysoko závažné zraniteľnosti

CVE-2025-20229 (CVSS skóre 8,0)

Zraniteľnosť v produktoch Splunk Enterprise a Splunk Cloud Platform spočíva v chýbajúcom overovaní autorizácie a vzdialený autentifikovaný útočník by ju mohol zneužiť na nahratie špeciálne vytvoreného súboru do priečinka „$SPLUNK_HOME/var/run/splunk/apptemp“ a následné vykonanie škodlivého kódu.

CVE-2025-20231 (CVSS skóre 7,1)

CVE-2025-20231 v produktoch Splunk Enterprise a Spunk Secure Gateway by vzdialený autentifikovaný útočník mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom. Splunk Secure Gateway pri volaniach na REST API „/services/ssg/secrets“ do logového súboru splunk_secure_gateway.log ukladá údaje o relácii používateľa a autentifikačné tokeny vo forme otvoreného textu. Samotná zraniteľnosť spočíva v nesprávnom nastavení oprávnení. Používateľom s nízkymi oprávneniami umožňuje spustiť vyhľadávanie s oprávneniami vyššie privilegovaných používateľov. Zneužitie zraniteľnosti vyžaduje interakciu zo strany obete, ktorá musí prostredníctvom webového prehliadača iniciovať požiadavku na predmetné API.

Zraniteľnosti strednej závažnosti

Ostatné zraniteľnosti strednej závažnosti  v Splunk Enterprise, Splunk Cloud Platform  a Spunk Secure Gateway možno zneužiť na realizáciu CSRF (Cross Site Request Forgery) útokov (CVE-2025-20228), obídenie bezpečnostných prvkov SPL a vykonanie príkazov (CVE-2025-20232, CVE-2025-20226), získanie neoprávneného prístupu k citlivý údajom (CVE-2025-20227) a vykonanie neoprávnených zmien v systéme (CVE-2025-20230).

Zraniteľnosti v komponentoch tretích strán

Bezpečnostné aktualizácie zároveň opravujú viacero zraniteľností v externých komponentoch (idna, certifi, requests, urllib3, cryptography, axios a Jinja2), ktoré sú využívané v rámci produktov Splunk.

Možné škody:

• Vzdialené vykonanie kódu
• Neoprávnený prístup k citlivým údajom
• Obídenie bezpečnostných prvkov
• Vykonanie neoprávnených zmien v systéme

Odporúčania:

Aktualizácia zraniteľných systémov na verzie špecifikované v časti Zraniteľné systémy.

Zraniteľnosť CVE-2025-20231  je možné mitigovať deaktiváciou Splunk Secure Gateway App podľa postupu na stránke výrobcu.

Zdroje:

• https://advisory.splunk.com/advisories
• https://advisory.splunk.com/advisories/SVD-2025-0301
• https://advisory.splunk.com/advisories/SVD-2025-0302
• https://advisory.splunk.com/advisories/SVD-2025-0303
• https://advisory.splunk.com/advisories/SVD-2025-0304
• https://advisory.splunk.com/advisories/SVD-2025-0305
• https://advisory.splunk.com/advisories/SVD-2025-0306
• https://advisory.splunk.com/advisories/SVD-2025-0307
• https://advisory.splunk.com/advisories/SVD-2025-0310
• https://advisory.splunk.com/advisories/SVD-2025-0308
• https://advisory.splunk.com/advisories/SVD-2025-0309
• https://advisory.splunk.com/advisories/SVD-2025-0311
• https://advisory.splunk.com/advisories/SVD-2025-0312
• https://advisory.splunk.com/advisories/SVD-2025-0401
• https://advisory.splunk.com/advisories/SVD-2025-0402