CVE-2025-20379

Nome do Software Vulnerável e Versões Afetadas Versões do Splunk Enterprise anteriores a 10.0.1 Versões do Splunk Enterprise de 9.2.9 até 9.4.5 Versões do Splunk Cloud Platform anteriores a 9.3.2411.116 Versões do Splunk Cloud Platform 9.3.2408.124 e anteriores Versões do Splunk Cloud Platform anteriores a 10.0.2503.5 Versões do Splunk Cloud Platform anteriores a 10.1.2507.1

Descrição Um usuário com privilégios limitados no Splunk Enterprise e no Splunk Cloud Platform pode conseguir executar comandos com privilégios elevados. Isso ocorre porque um usuário com baixos privilégios, sem funções administrativas ou de poder, consegue contornar as proteções para comandos arriscados dentro de pesquisas salvas. O contorno é realizado por meio da codificação de caracteres no caminho REST do endpoint /services/streams/search, manipulando especificamente o parâmetro q. A exploração bem-sucedida requer que um atacante induza uma vítima, via phishing, a iniciar uma requisição em seu navegador. O usuário autenticado não consegue explorar a vulnerabilidade sem ser enganado para iniciar a requisição.

Recomendações Atualize o Splunk Enterprise para a versão 10.0.1 ou posterior. Atualize o Splunk Enterprise para a versão 9.4.5 ou posterior. Atualize o Splunk Enterprise para a versão 9.3.7 ou posterior. Atualize o Splunk Enterprise para a versão 9.2.9 ou posterior. Atualize o Splunk Cloud Platform para a versão 9.3.2411.116 ou posterior. Atualize o Splunk Cloud Platform para a versão 9.3.2408.124 ou posterior. Atualize o Splunk Cloud Platform para a versão 10.0.2503.5 ou posterior. Atualize o Splunk Cloud Platform para a versão 10.1.2507.1 ou posterior.