Sicherheitspatches Splunk: Unberechtigte Zugriffe möglich
Monitoring- und Sicherheitssoftware von Splunk ist verwundbar. Davon ist unter anderem Splunk Enterprise betroffen.
(Bild: AFANASEV IVAN/ Shutterstock.com)
Nutzen Angreifer Sicherheitslücken in Splunk Enterprise, Universal Forwarder oder Secure Gateway App erfolgreich aus, können sie unter anderem auf eigentlich nicht zugängliche Systembereiche zugreifen.
Davon sind je nach Anwendung die Windows- und/oder die Webversionen betroffen. Konkrete Hinweise dazu finden Admins in den unterhalb dieser Meldung verlinkten Warnmeldungen. Bislang gibt es keine Berichte zu Attacken. Admins sollten zeitnah eine der abgesicherten Versionen 9.2.10, 9.3.8, 9.4.6 oder 10.0.2 installieren.
Die Gefahren
Geschieht das nicht, können Angreifer unter anderem unter Windows ohne die sonst benötigten Administratorrechte auf C:\Program Files\Splunk zugreifen (Enterprise for Windows: CVE-2025-20386 „hoch“, Universal Forwarder for Windows: CVE-2025-20387 „hoch“). Zusätzlich könnten sie Logdateien manipulieren (CVE-2025-20384 „mittel“) oder DoS-Zustände und somit Abstürze auslösen (CVE-2025-20389 „mittel“).
Videos by heise
Liste nach Bedrohungsgrad absteigend sortiert:
- Incorrect permission assignment on Splunk Enterprise for Windows during new installation or upgrade
- Incorrect permissions assignment on Splunk Universal Forwarder for Windows during new installation or upgrade
- Unauthenticated Log Injection in Splunk Enterprise
- Improper access control through push notifications for reports and alerts in Splunk Secure Gateway app
- Improper Input Validation in "label" column field in Splunk Secure Gateway App
- URL validation bypass through Views Dashboard in Splunk Enterprise
- Blind Server Side Request Forgery (SSRF) through Distributed Search Peers in Splunk Enterprise
- Stored Cross-Site scripting (XSS) through Anchor Tag "href" in Navigation Bar Collections in Splunk Enterprise
(des)
