اسپلانک اخیرا، چندین آسیب پذیری با شدت بالا، متوسط و پایین رو، در محصولات مختلفش اصلاح کرده. در این پست نگاهی به آسیب پذیری های با شدت بالا، انداختیم.
آسیب پذیری CVE-2025-20229:
در نسخههای Splunk Enterprise قبل از 9.3.3، 9.2.5 و 9.1.8 و نسخههای Splunk Cloud Platform قبل از 9.3.2408.104، 9.2.2406.108، 9.2.2403.114 و 9.1.2312.208، یک کاربر با سطح دسترسی پایین که نقشهای “admin” یا “power” در Splunk رو نداره، میتونه بدلیل عدم وجود بررسیهای مجوز، از طریق آپلود فایل به دایرکتوری “$SPLUNK_HOME/var/run/splunk/apptemp”، اجرای کد از راه دور (RCE) رو انجام بده.
آسیب پذیری شدت بالا و امتیاز 8 داره.
| محصول | نسخه | مولفه | نسخه تحت تاثیر | نسخه اصلاح شده |
|---|---|---|---|---|
| Splunk Enterprise | 9.4 | 9.4.0 | ||
| Splunk Enterprise | 9.3 | 9.3.0 to 9.3.2 | 9.3.3 | |
| Splunk Enterprise | 9.2 | 9.2.0 to 9.2.4 | 9.2.5 | |
| Splunk Enterprise | 9.1 | 9.1.0 to 9.1.7 | 9.1.8 | |
| Splunk Cloud Platform | 9.3.2408 | Splunk Web | 9.3.2408.100 to 9.3.2408.103 | 9.3.2408.104 |
| Splunk Cloud Platform | 9.2.2406 | Splunk Web | 9.2.2406.100 to 9.2.2406.107 | 9.2.2406.108 |
| Splunk Cloud Platform | 9.2.2403 | Splunk Web | Below 9.2.2403.113 | 9.2.2403.114 |
| Splunk Cloud Platform | 9.1.2312 | Splunk Web | Below 9.1.2312.207 | 9.1.2312.208 |
آسیب پذیری CVE-2025-20231:
در نسخههای Splunk Enterprise قبل از 9.4.1، 9.3.3، 9.2.5 و 9.1.8 و نسخههای قبل از 3.8.38 و 3.7.23 اپلیکیشن Splunk Secure Gateway در پلتفرم Splunk Cloud، یک کاربر با سطح دسترسی پایین که نقشهای “admin” یا “power” در Splunk رو نداره، میتونه جستجویی رو با استفاده از مجوزهای یک کاربر با سطح دسترسی بالاتر اجرا کنه که ممکنه منجر به افشای اطلاعات حساس بشه.
Splunk Secure Gateway توکن های جلسه کاربر و مجوزها رو بصورت متن ساده در فایل splunk_secure_gateway.log نمایش میده، زمانیکه endpoint REST با آدرس /services/ssg/secrets رو فراخوانی کنه.
این آسیبپذیری نیازمند اینه که مهاجم با فریب دادن قربانی (از طریق فیشینگ) اون رو وادار کنه تا درخواستی رو از طریق مرورگر خودش شروع کنه. کاربر احراز هویتشده با سطح دسترسی پایین نباید بتونه این آسیبپذیری را بصورت دلخواه اکسپلویت کنه.
| محصول | نسخه | مولفه | نسخه ی تحت تاثیر | نسخه اصلاح شده |
|---|---|---|---|---|
| Splunk Enterprise | 9.4 | Splunk Secure Gateway | 9.4.0 | 9.4.1 |
| Splunk Enterprise | 9.3 | Splunk Secure Gateway | 9.3.0 to 9.3.2 | 9.3.3 |
| Splunk Enterprise | 9.2 | Splunk Secure Gateway | 9.2.0 to 9.2.4 | 9.2.5 |
| Splunk Enterprise | 9.1 | Splunk Secure Gateway | 9.1.0 to 9.1.7 | 9.1.8 |
| Splunk Secure Gateway | 3.8 | Below 3.8.38 | 3.8.38 | |
| Splunk Secure Gateway | 3.7 | Below 3.7.23 | 3.7.23 |
اگه بروزرسانی فعلا مقدور نیست، بعنوان یک اقدام کاهشی موقت، میتونید Splunk Secure Gateway App رو غیر فعال کنید.
آسیب پذیری در پکیجهای شخص ثالث:
علاوه بر موارد بالا، یسری پکیج آسیب پذیر هم در نسخه های مختلف اسپلانک اصلاح شدن. از این پکیجهای شخص ثالث، مواردی که شدت بالایی داشتن رو در ادامه بررسی کردیم.
چندین آسیب پذیری در certifi و urllib3 اصلاح شدن که شدت بالایی داشتن. نسخه ی اصلاح شده ی certifi ، نسخه های بالاتر از 2024.7.4 و نسخه ی اصلاح شده برای urllib3، نسخه های بالاتر از 1.26.18 هستش. با توجه به اینکه Splunk App for Data Science and Deep Learning از این پکیجها استفاده میکنه، تحت تاثیر این آسیب پذیریها قرار داره.
نسخه های تحت تاثیر Splunk App for Data Science and Deep Learning، نسخه های 5.1.2, 5.1.1 و 5.1.0 هستش و برای اصلاحش باید به نسخه ی 5.2.0 بروزش کنید.
آسیب پذیری با شدت بالا و شناسه CVE-2024-39338 در پکیج axios و نسخه های بالاتر از 1.7.4 اصلاح شده. با توجه به اینکه Splunk Infrastructure Monitoring Add-on از این پکیج استفاده میکنه، تحت تاثیر این آسیب پذیری قرار داره، که برای اصلاحش باید به نسخه ی 1.2.7 بروزرش کنید.