Splunk یکی از پلتفرمهای تحلیل داده و مانیتورینگ است که در سازمانها برای پردازش و تحلیل لاگها استفاده میشود. اخیراً یک آسیبپذیری با شناسهی CVE-2025-20229 در نسخههای مختلف Splunk Enterprise و Splunk Cloud Platform شناسایی شده است که به کاربران با سطح دسترسی پایین امکان اجرای کد از راه دور را میدهد. این نقص به دلیل عدم بررسی مناسب سطح دسترسی در فرآیند آپلود فایل رخ میدهد و میتواند به مهاجمان اجازه دهد تا کنترل سیستم را در دست بگیرند.
جزئیات آسیبپذیری
در نسخههای آسیبپذیر Splunk، یک کاربر غیر از admin و power با سطح دسترسی پایین میتواند از طریق آپلود فایل مخرب در مسیر:
$SPLUNK_HOME/var/run/splunk/apptemp
کد دلخواه خود را روی سرور اجرا کند، دسترسی غیرمجاز به سرور Splunk داشته باشد و دادههای حساس را سرقت کند. این نقص به دلیل عدم انجام بررسیهای احراز هویت و مجوزهای لازم در فرآیند آپلود فایل ایجاد شده است.
بردار CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H نشان میدهد که مهاجم برای بهرهبرداری از این آسیبپذیری باید بتواند بهطور غیرمجاز وارد سیستم شود یا به نقاطی دسترسی پیدا کند که بهطور معمول برای کاربران عادی یا با دسترسی پایین غیرمجاز است.
این آسیبپذیری از نوع اجرای کد از راه دور (RCE) است و میتواند به مهاجم این امکان را بدهد که از طریق تعامل با کاربر به سیستم هدف نفوذ کند. این آسیبپذیری میتواند تأثیرات جدی بر محرمانگی، یکپارچگی و دسترسپذیری سرورهای آسیبپذیر داشته باشد.
نسخههای تحت تأثیر
Splunk Enterprise:
- تمامی نسخههای پایینتر از 9.3.3، 9.2.5 و 9.1.8
- نسخهی 9.4.0 تحت تأثیر این آسیبپذیری قرار دارد.
Splunk Cloud Platform:
- تمامی نسخههای پایینتر از 9.2.2406.108، 9.3.2408.104، 9.2.2403.114 و 9.1.2312.208
توصیههای امنیتی
- بهروزرسانی Splunk به نسخههای امن.
- نظارت بر دایرکتوری آپلود: $SPLUNK_HOME/var/run/splunk/apptemp و حذف فایلهای مشکوک.
- محدودسازی دسترسی کاربران غیرضروری.
منابع خبر:
[1]https://advisory.splunk.com/advisories/SVD-2025-0301
[2]https://nvd.nist.gov/vuln/detail/CVE-2025-20229
- 22