摘要：Splunk 近日发布补丁，修复了影响 Splunk Enterprise 和 Splunk Cloud Platform 的高危远程代码执行（RCE）漏洞。该漏洞编号为 CVE-2025-20229，可能允许低权限用户通过上传恶意文件执行任意代码。

Splunk 近日发布补丁，修复了影响 Splunk Enterprise 和 Splunk Cloud Platform 的高危远程代码执行（RCE）漏洞。该漏洞编号为 CVE-2025-20229，可能允许低权限用户通过上传恶意文件执行任意代码。

该漏洞存在于以下版本中：

Splunk Enterprise：9.3.3、9.2.5 和 9.1.8 之前的版本

Splunk Cloud Platform：9.3.2408.104、9.2.2406.108、9.2.2403.114 和 9.1.2312.208 之前的版本

根据 Splunk 的安全公告，即使没有"admin"或"power"权限的低权限用户也可利用此漏洞。攻击者通过向"$SPLUNK_HOME/var/run/splunk/apptemp"目录上传文件，即可绕过必要的授权检查。

Splunk 为该漏洞评定的 CVSSv3.1 分数为 8.0（高危），攻击向量为 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H。

Splunk 建议用户采取以下措施修复漏洞：

Splunk Enterprise 用户：升级至 9.4.0、9.3.3、9.2.5、9.1.8 或更高版本

Splunk Cloud Platform 用户：Splunk 正在主动监控和修补实例

除上述 RCE 漏洞外，Splunk 还披露了影响 Splunk Secure Gateway 应用的另一个高危漏洞（CVE-2025-20231）。该漏洞可能允许低权限用户以高权限用户的权限进行搜索，导致敏感信息泄露。

1. 漏洞详情

当调用/services/ssg/secretsREST 端点时，Splunk Secure Gateway 会在 splunk_secure_gateway.log 文件中以明文形式暴露用户会话和授权令牌。成功利用此漏洞需要攻击者诱骗受害者在浏览器中发起请求。

Splunk 将该漏洞评为高危，CVSSv3.1 分数为 7.1，攻击向量为 CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H。

2. 解决方案

Splunk 建议：

升级 Splunk Enterprise 至 9.4.1、9.3.3、9.2.5 和 9.1.8 或更高版本

Splunk Cloud Platform 实例正在主动修补中

用户可临时禁用 Splunk Secure Gateway 应用作为缓解措施，但这可能影响 Splunk Mobile、Spacebridge 和 Mission Control 用户的功能。Splunk 建议客户及时关注安全更新并尽快应用补丁，以保护系统免受潜在攻击。

来源：FreeBuf