CVE-2025-20226

Nome do Software Vulnerável e Versões Afetadas Versões do Splunk Enterprise anteriores à 9.4.1 Versões do Splunk Enterprise anteriores à 9.3.3 Versões do Splunk Enterprise anteriores à 9.2.5 Versões do Splunk Enterprise anteriores à 9.1.8 Versões do Splunk Cloud Platform anteriores à 9.3.2408.107 Versões do Splunk Cloud Platform anteriores à 9.2.2406.111 Versões do Splunk Cloud Platform anteriores à 9.1.2308.214

Descrição Um usuário com baixos privilégios poderia contornar as salvaguardas SPL para comandos de risco no endpoint "/services/streams/search" através do seu parâmetro q, utilizando as permissões de um usuário com privilégios mais altos. Isso requer que o atacante engane a vítima via phishing, induzindo-a a iniciar uma requisição em seu navegador. O usuário autenticado não deve ser capaz de explorar o problema arbitrariamente.

Recomendações Para versões do Splunk Enterprise anteriores à 9.4.1, atualize para a versão 9.4.1 ou posterior. Para versões do Splunk Enterprise anteriores à 9.3.3, atualize para a versão 9.3.3 ou posterior. Para versões do Splunk Enterprise anteriores à 9.2.5, atualize para a versão 9.2.5 ou posterior. Para versões do Splunk Enterprise anteriores à 9.1.8, atualize para a versão 9.1.8 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.3.2408.107, atualize para a versão 9.3.2408.107 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.2.2406.111, atualize para a versão 9.2.2406.111 ou posterior. Para versões do Splunk Cloud Platform anteriores à 9.1.2308.214, atualize para a versão 9.1.2308.214 ou posterior. Como solução temporária, considere restringir o acesso ao endpoint "/services/streams/search" para minimizar o risco de exploração. Evite usar o parâmetro q no endpoint afetado até que o problema seja resolvido.