Splunk: Teils hochriskante Sicherheitslecks in mehreren Produkten
In der Sicherheits- und Monitoring-Software von Splunk klaffen teils hochriskante Sicherheitslücken. Updates schließen sie.
(Bild: Erstellt mit KI in Bing Creator von heise online / dmk)
Splunk hat eine Reihe an Sicherheitslücken in mehreren Produkten gemeldet. Aktualisierte Software-Pakete stehen zum Herunterladen bereit, mit denen Admins diese Sicherheitslecks stopfen können.
Die gravierendste Lücke findet sich offenbar in Splunk Enterprise. Sie erlaubt Angreifern aus dem Netz, Schadcode einzuschleusen und auszuführen. Offenbar ist ein Login nötig, jedoch keine erhöhten Rechte der Rollen "admin" oder "power" (CVE-2025-20229, CVSS 8.0, Risiko "hoch"). Das Update auf Splunk Enterprise 9.4.0, 9.3.3, 9.2.5, 9.1.8 oder neuer behebt den Fehler, für die Cloud-Plattform kümmert sich Splunk um die Überwachung und das Anwenden der Patches.
Splunk: Hochriskante Lücken
Zudem können sensible Informationen aufgrund einer Schwachstelle im Splunk Secure Gateway abfließen. Nutzer mit eingeschränkten Rechten können dann mit erhöhten Rechten eine Suche starten und so unbefugt an Informationen gelangen. Beim Aufruf eines REST-Endpunkts können User-Session- und Autorisierungs-Tokens im Klartext im "splunk_secure_gateway.log" landen. Angreifer können das Ausnutzen, indem sie ein Opfer dazu bringen, eine Anfrage in ihrem Webbrowser zu starten und so die Daten "phishen". Diese Lücken schließen die Splunk-Enterprise-Versionen 9.4.1, 9.3.3, 9.2.5, 9.1.8 und neuere.
Videos by heise
Zudem stufen die Splunk-Entwickler einige Lücken in Drittanbieter-Komponenten ein, die mit Splunk-Software ausgeliefert wird. Das betrifft etwa Splunk App for Data Science and Deep Learning, Splunk DB Connect, Splunk Infrastructure Monitoring Add-on sowie Splunk Enterprise. Außerdem warnt Splunk vor weiteren Schwachstellen mit mittlerem oder niedrigem Bedrohungsgrad und liefert Updates, die die Probleme beheben sollen.
Die einzelnen Sicherheitsmitteilungen nach Schweregrad der Lücken absteigend sortiert:
- Remote Code Execution through file upload to “$SPLUNK_HOME/var/run/splunk/apptemp“ directory in Splunk Enterprise CVE-2025-20229, CVSS 8.0, Risiko "hoch"
- Sensitive Information Disclosure in Splunk Secure Gateway App CVE-2025-20231, CVSS 7.1, Risiko "hoch"
- Third-Party Package Updates in Splunk Enterprise Mehrere CVEs, Risiko "hoch"
- Third-Party Package Updates in Splunk App for Data Science and Deep Learning Mehrere CVEs, Risiko "hoch"
- Third-Party Package Updates in Splunk DB Connect Mehrere CVEs, Risiko "hoch"
- Third-Party Package Updates in Splunk Infrastructure Monitoring Add-on CVE-2024-39338, kein eigenes CVSS, Risiko "hoch"
- Third-Party Package Updates in Splunk Add-on for Microsoft Cloud Services Mehrere CVEs, Risiko "mittel"
- Maintenance mode state change of App Key Value Store (KVStore) through a Cross-Site Request Forgery (CSRF) in Splunk Enterprise CVE-2025-20228, CVSS 6.5, Risiko "mittel"
- Risky Command Safeguards Bypass in “/app/search/search“ endpoint through “s“ parameter in Splunk Enterprise CVE-2025-20232, CVSS 5.7, Risiko "mittel"
- Risky command safeguards bypass in “/services/streams/search“ endpoint through “q“ parameter in Splunk Enterprise CVE-2025-20226, CVSS 5.7, Risiko "mittel"
- Information Disclosure through external content warning modal dialog box bypass in Splunk Enterprise Dashboard Studio CVE-2025-20227, CVSS 4.3, Risiko "mittel"
- Missing Access Control and Incorrect Ownership of Data in App Key Value Store (KVStore) collections in the Splunk Secure Gateway App CVE-2025-20230, CVSS 4.3, Risiko "mittel"
- Incorrect permissions set by the “chmod“ and “makedirs“ Python functions in Splunk App for Lookup File Editing CVE-2025-20233, CVSS 2.5, Risiko "niedrig"
Vor einem Jahr hat Cisco das Unternehmen Splunk übernommen. Kurz darauf haben die Entwickler damit begonnen, die Splunk-Funktionen mit der Cisco-Software zu verknüpfen. Eine der ersten Software-Integrationen betraf Ciscos AppDynamics.
(dmk)
