Splunk выпустила исправления для нескольких десятков уязвимостей в своих продуктах, включая две критически важные, связанные с удаленным выполнением кода и раскрытием информации в Splunk Enterprise и Secure Gateway App.
RCE-ошибка могла бать использована пользователями с низкими привилегиями, загрузив файл в каталог $SPLUNK_HOME/var/run/splunk/apptemp.
Уязвимость отслеживается как CVE-2025-20229 (CVSS 8,0) и вызвана отсутствием проверки авторизации.
Она устранена с выпуском версий Splunk Enterprise 9.4.0, 9.3.3, 9.2.5 и 9.1.8, а также Splunk Cloud Platform 9.3.2408.104, 9.2.2406.108, 9.2.2403.114 и 9.1.2312.208.
Также была закрыта серьезная проблема раскрытия информации, затрагивающая как Splunk Enterprise, так и приложение Splunk Secure Gateway на платформе Splunk Cloud Platform, которую также могли реализовать пользователи с низкими привилегиями.
Splunk Secure Gateway раскрывает сеанс пользователя и токены авторизации в открытом виде в файле splunk_secure_gateway.log при вызове конечной точки REST /services/ssg/secrets.
По данным Splunk, злоумышленник может использовать эту уязвимость как часть фишинговой атаки, убеждая жертву инициировать запрос в своем браузере.
Исправления для нее были включены в Splunk Enterprise версий 9.4.1, 9.3.3, 9.2.5 и 9.1.8, а также в Secure Gateway 3.8.38 и 3.7.23.
При этом Splunk Mobile, Spacebridge и Mission Control полагаются на функционал приложения Splunk Secure Gateway. Так что если не используется ни одно из приложений, функций или возможностей, в качестве потенциального смягчения можно удалить или отключить приложение.
Splunk также объявила об исправлении ряда ошибок средней степени серьезности в Splunk Enterprise, которые могут привести к изменению режима обслуживания, обходу мер безопасности, раскрытию информации и манипулированию другими пользовательскими данными.
Кроме того, устранены проблемы низкой степени серьезности в приложении Splunk App for Lookup Editing и множество уязвимостей в сторонних пакетах в Splunk Enterprise, App for Data Science and Deep Learning App, DB Connect, Infrastructure Monitoring Add-on и Splunk Add-on for Microsoft Cloud Services.
Splunk не упоминает об эксплуатации какой-либо из этих уязвимостей в реальных условиях, однако рекомендует пользователям как можно скорее обновить свои экземпляры Splunk Enterprise и другие уязвимые приложения Splunk.
RCE-ошибка могла бать использована пользователями с низкими привилегиями, загрузив файл в каталог $SPLUNK_HOME/var/run/splunk/apptemp.
Уязвимость отслеживается как CVE-2025-20229 (CVSS 8,0) и вызвана отсутствием проверки авторизации.
Она устранена с выпуском версий Splunk Enterprise 9.4.0, 9.3.3, 9.2.5 и 9.1.8, а также Splunk Cloud Platform 9.3.2408.104, 9.2.2406.108, 9.2.2403.114 и 9.1.2312.208.
Также была закрыта серьезная проблема раскрытия информации, затрагивающая как Splunk Enterprise, так и приложение Splunk Secure Gateway на платформе Splunk Cloud Platform, которую также могли реализовать пользователи с низкими привилегиями.
Splunk Secure Gateway раскрывает сеанс пользователя и токены авторизации в открытом виде в файле splunk_secure_gateway.log при вызове конечной точки REST /services/ssg/secrets.
По данным Splunk, злоумышленник может использовать эту уязвимость как часть фишинговой атаки, убеждая жертву инициировать запрос в своем браузере.
Исправления для нее были включены в Splunk Enterprise версий 9.4.1, 9.3.3, 9.2.5 и 9.1.8, а также в Secure Gateway 3.8.38 и 3.7.23.
При этом Splunk Mobile, Spacebridge и Mission Control полагаются на функционал приложения Splunk Secure Gateway. Так что если не используется ни одно из приложений, функций или возможностей, в качестве потенциального смягчения можно удалить или отключить приложение.
Splunk также объявила об исправлении ряда ошибок средней степени серьезности в Splunk Enterprise, которые могут привести к изменению режима обслуживания, обходу мер безопасности, раскрытию информации и манипулированию другими пользовательскими данными.
Кроме того, устранены проблемы низкой степени серьезности в приложении Splunk App for Lookup Editing и множество уязвимостей в сторонних пакетах в Splunk Enterprise, App for Data Science and Deep Learning App, DB Connect, Infrastructure Monitoring Add-on и Splunk Add-on for Microsoft Cloud Services.
Splunk не упоминает об эксплуатации какой-либо из этих уязвимостей в реальных условиях, однако рекомендует пользователям как можно скорее обновить свои экземпляры Splunk Enterprise и другие уязвимые приложения Splunk.
