Splunk 已发布补丁，以修复一个影响 Splunk Enterprise 和 Splunk Cloud Platform 的高危远程代码执行（RCE）漏洞。该漏洞被认定为 CVE-2025-20229，可能使低权限用户通过上传恶意文件来执行任意代码。

此漏洞存在于 Splunk Enterprise 9.3.3、9.2.5 和 9.1.8 版本之前的版本中，以及 Splunk Cloud Platform 9.3.2408.104、9.2.2406.108、9.2.2403.114 和 9.1.2312.208 版本之前的版本中。

根据 Splunk 发布的安全公告，没有 “管理员（admin）” 或 “高级权限（power）” 角色的低权限用户可能会利用这个漏洞。其利用方式是通过向 “$SPLUNK_HOME/var/run/splunk/apptemp” 目录上传文件，绕过必要的授权检查。

Splunk 为该漏洞分配了通用漏洞评分系统（CVSSv3.1）8.0 的评分，将其标记为高危问题，其评分向量为 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H。

为修复该漏洞，Splunk 建议将 Splunk Enterprise 升级到 9.4.0、9.3.3、9.2.5、9.1.8 或更高版本。对于 Splunk Cloud Platform 的用户，Splunk 正在积极监控并为实例打补丁。

Splunk Secure Gateway 应用程序中的漏洞

除了上述远程代码执行漏洞外，Splunk 还披露了另一个影响 Splunk 安全网关应用程序（Splunk Secure Gateway app）的高危漏洞。

这个被认定为 CVE-2025-20231 的漏洞，可能使低权限用户使用高权限用户的权限进行搜索，这有可能导致敏感信息泄露。

该漏洞影响 Splunk Enterprise 9.4.1、9.3.3、9.2.5 和 9.1.8 以下的版本，以及 Splunk Cloud Platform 上 3.8.38 和 3.7.23 以下版本的 Splunk 安全网关应用程序。

当调用 REST 端点./services/ssg/secrets 时，Splunk 安全网关会在 splunk_secure_gateway.log 文件中以明文形式暴露用户会话和授权令牌。

成功利用该漏洞需要攻击者诱骗受害者在其浏览器中发起请求。Splunk 将此漏洞评定为高危，其通用漏洞评分系统（CVSSv3.1）评分为 7.1，评分向量为 CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H。

为解决这个问题，Splunk 建议将 Splunk Enterprise 升级到 9.4.1、9.3.3、9.2.5 和 9.1.8 或更高版本。Splunk 也在积极为 Splunk Cloud Platform 的实例打补丁。

用户可以禁用 Splunk 安全网关应用程序作为临时解决办法，不过这可能会影响 Splunk Mobile、Spacebridge和Mission Control 用户的功能。

Splunk 鼓励客户及时了解安全更新信息，并及时应用补丁，以保护其系统免受潜在的漏洞利用威胁。