管理Windows环境的Splunk管理员需立即修补两个高严重性漏洞,这些漏洞影响Enterprise平台和Universal Forwarders。漏洞编号为 CVE-2025-20386 和 CVE-20387,CVSS评分 8.0,对系统完整性构成重大风险。
漏洞根源与权限缺陷
问题核心在于软件部署过程中的 文件权限处理不当。安全公告指出:“新安装或升级至受影响版本可能导致Windows环境下Splunk Enterprise安装目录的权限分配错误”。这一疏忽相当于为主机留下了“未锁的数字前门”。
该漏洞并非传统意义上的远程代码执行漏洞,而是一种 本地安全降级问题,会显著扩大攻击面。在加固环境中,应用目录(特别是C:\Program Files\Splunk和C:\Program Files\SplunkUniversal Forwarder)应严格限制仅管理员和系统账户可访问。
然而,由于此缺陷,软件未能正确锁定这些文件夹。公告明确说明风险:“这允许计算机上的非管理员用户访问该目录及其所有内容”。
对于已获取低权限用户账户的攻击者,此漏洞可提供对敏感配置文件、日志的读取权限,或潜在允许在Splunk目录内进行恶意文件操作。
影响范围与修复建议
漏洞影响Windows环境下的Splunk核心平台和转发代理。若运行以下版本以下的软件,系统将面临风险:
- 10.0.2
- 9.4.6
- 9.3.8
- 9.2.10
Splunk已发布修补版本以修复此安全缺口。主要建议简洁明了:“将Splunk Enterprise升级至10.0.2、9.4.6、9.3.8、9.2.10或更高版本”。Universal Forwarder适用相同版本要求。
临时缓解措施
对于无法立即升级的组织,Splunk提供了使用Windows icacls工具 手动移除危险权限的临时方案。
管理员必须通过命令提示符或PowerShell按顺序执行以下命令:
- 禁用继承:
icacls.exe "<path\to\installation directory>" /inheritance:d - 移除内置用户访问权限:
icacls.exe "<path\to\installation directory>" /remove:g *BU /T /C - 移除已认证用户访问权限:
icacls.exe "<path\to\installation directory>" /remove:g *S-1-5-11 /T /C - 安全重新启用继承:
icacls.exe "<path\to\installation directory>" /inheritance:e /T /C
发表评论
您还未登录,请先登录。
登录