Splunk Enterprise 9.1.0 < 9.1.10、9.2.0 < 9.2.7、9.3.0 < 9.3.5、9.4.0 < 9.4.3 (SVD-2025-0709)
low Nessus Plugin ID 241440
語言:
概要
遠端 Web 伺服器上執行的應用程式受到一個弱點影響說明
遠端主機上安裝的 Splunk 版本低於測試版本。因此,此版本會受到 SVD-2025-0709 公告中提及的一個弱點影響。- 在低於 9.4.3、 9.3.5、 9.2.7和 9.1.10版的 Splunk Enterprise 以及低於 9.3.2411.103、 9.3.2408.113和 9.2.2406.119版的 Splunk Cloud Platform 中軟體可能會洩漏搜尋頭叢集 splunk.secret 金鑰。如果您擁有 Search head 叢集並且在叢集部署的 DEBUG 記錄層級設定 Splunk Enterprise SHCConfig 記錄通道就可能會發生此洩漏情形。該弱點可能需要記錄檔的本機存取權或內部索引的管理存取權預設為只有系統管理員角色才會收到。檢閱您執行個體上的角色和功能,並將內部索引存取限制為管理員層級角色。如需詳細資訊,請參閱在 Splunk 平台上定義具有功能的角色、部署搜尋標頭叢集、跨多個伺服器部署安全密碼和設定搜尋標頭叢集的安全性金鑰。 (CVE-2025-20325)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
根據您對 Splunk Enterprise 執行個體 SHCConfig 記錄通道的設定方式而定有多個解決方案。首先確定您是否有 Search head 叢集。如果您有搜尋頭叢集判斷 SHCConfig 記錄通道是否處於 DEBUG 記錄層級。您必須以管理員使用者或同等使用者的身分登入 Splunk Enterprise 執行個體,才能執行這些動作。如要判斷執行個體的記錄通道記錄模式: 1.在網頁瀏覽器中造訪 Splunk Web 中的「伺服器記錄設定」頁面網址為 /en-US/manager/system/server/logger。 2. 在載入的頁面上檢閱 [記錄層級] 欄。如果此欄中的 SHCConfig 列將 DEBUG 顯示為記錄層級則 Splunk Enterprise SHCConfig 記錄通道處於除錯模式。否則即未處於偵錯模式。請參閱啟用偵錯記錄以取得詳細資訊。如果前述步驟確定 SHCConfiglog 通道的偵錯記錄處於使用中狀態則藉由執行下列工作來解決問題1.將 Splunk Enterprise 升級至 9.4.3、 9.3.5、 9.2.7和 9.1.10版或更高版本。2.更新 splunk.secret 金鑰檔案。如需詳細資訊請參閱更新執行個體上的 splunk.secret 金鑰檔案以使用新密碼。Splunk 會主動監控及修補 Splunk Cloud Platform 執行個體。
另請參閱
Plugin 詳細資訊
嚴重性: Low
ID: 241440
檔案名稱: splunk_943_cve-2025-20325.nasl
版本: 1.2
類型: combined
代理程式: windows, macosx, unix
系列: CGI abuses
已發布: 2025/7/7
已更新: 2025/7/11
組態: 啟用 Paranoid 模式
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Low
基本分數: 2.1
時間性分數: 1.6
媒介: CVSS2#AV:N/AC:H/Au:S/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2025-20325
CVSS v3
風險因素: Low
基本分數: 3.1
時間性分數: 2.7
媒介: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:splunk:splunk
必要的 KB 項目: installed_sw/Splunk, Settings/ParanoidReport
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2025/7/7
弱點發布日期: 2025/7/7
參考資訊
CVE: CVE-2025-20325
CWE: 200
IAVA: 2025-A-0502