CVE-2025-20229

Nome do Software Vulnerável e Versões Afetadas Versões do Splunk Enterprise anteriores a 9.3.3 Versões do Splunk Enterprise anteriores a 9.2.5 Versões do Splunk Enterprise anteriores a 9.1.8 Versões do Splunk Cloud Platform anteriores a 9.3.2408.104 Versões do Splunk Cloud Platform anteriores a 9.2.2406.108 Versões do Splunk Cloud Platform anteriores a 9.2.2403.114 Versões do Splunk Cloud Platform anteriores a 9.1.2312.208

Descrição Um usuário com privilégios limitados que não possui as funções "admin" ou "power" do Splunk poderia realizar uma Execução Remota de Código (RCE) através do upload de um arquivo para o diretório "$SPLUNK HOME/var/run/splunk/apptemp" devido à falta de verificações de autorização. Este problema permite que atacantes executem código arbitrário fazendo upload de arquivos maliciosos. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais onde este problema foi explorado.

Recomendações Para versões do Splunk Enterprise anteriores a 9.3.3, atualize para a versão 9.3.3 ou posterior. Para versões do Splunk Enterprise anteriores a 9.2.5, atualize para a versão 9.2.5 ou posterior. Para versões do Splunk Enterprise anteriores a 9.1.8, atualize para a versão 9.1.8 ou posterior. Para versões do Splunk Cloud Platform anteriores a 9.3.2408.104, atualize para a versão 9.3.2408.104 ou posterior. Para versões do Splunk Cloud Platform anteriores a 9.2.2406.108, atualize para a versão 9.2.2406.108 ou posterior. Para versões do Splunk Cloud Platform anteriores a 9.2.2403.114, atualize para a versão 9.2.2403.114 ou posterior. Para versões do Splunk Cloud Platform anteriores a 9.1.2312.208, atualize para a versão 9.1.2312.208 ou posterior. Como medida temporária de contorno, considere restringir o acesso ao diretório "$SPLUNK HOME/var/run/splunk/apptemp" até que uma correção esteja disponível.