Splunk Enterprise 9.1.0 < 9.1.10、9.2.0 < 9.2.7、9.3.0 < 9.3.5、9.4.0 < 9.4.3 (SVD-2025-0709)
low Nessus 插件 ID 241440
语言:
简介
远程 Web 服务器主机上运行的应用程序受到一个漏洞的影响描述
远程主机上安装的 Splunk 版本低于测试版本。因此,该程序受到 SVD-2025-0709 公告中提及的一个漏洞影响。- 在 9.4.3、 9.3.5、 9.2.7和 9.1.10下方的 Splunk Enterprise 版本以及 9.3.2411.103、 9.3.2408.113和 9.2.2406.119下方的 Splunk Cloud Platform 版本中该软件可能会暴露搜索头 cluster splunk.secret 密钥。如果您有搜索头群集并且在群集部署中在 DEBUG 日志记录级别配置 Splunk Enterprise SHCConfig 日志通道就可能发生此风险暴露。此漏洞会要求日志文件的本地访问权限或内部索引的管理访问权限默认情况下只有 admin 角色可获得。检查 实例的角色和功能,并将内部索引访问权限限制为管理员级别角色。请参阅使用功能定义 Splunk 平台上的角色、部署搜索头群集、在多个服务器上部署安全密码和为搜索头群集设置安全密钥,以了解更多信息。 (CVE-2025-20325)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
根据您如何配置 Splunk Enterprise 实例 SHCConfig 日志通道,有多种解决方案。首先,确定是否有搜索头群集。如果您有搜索头群集,请确定 SHCConfig 日志通道是否处于 DEBUG 日志记录级别。您必须以管理员用户或同等身份登录 Splunk Enterprise 实例,才能执行这些操作。如要确定 实例的日志通道记录模式,请执行以下操作: 1. 点击“”。在 Web 浏览器中访问 Splunk Web 中的“服务器日志记录设置”页面网址为 /en-US/manager/system/server/logger。 2. 在 加载的页面上查看“日志记录级别”列。如果此列中的 SHCConfig 行显示日志记录级别为 DEBUG则 Splunk Enterprise SHCConfig 日志通道正处于调试模式。否则其不在调试模式下。请参阅启用调试日志记录以了解更多信息。如果上述步骤确定 SHCConfiglog 通道的调试日志记录处于活动状态则通过执行下列任务来修复问题1。将 Splunk Enterprise 升级到 9.4.3、 9.3.5、 9.2.7和 9.1.10或更高版本。2.更新 splunk.secret 密钥文件。有关详细信息请参阅“更新实例上的 splunk.secret 密钥文件以使用新密码”。Splunk 正在主动监控 Splunk Cloud Platform 实例并为其修补。
另见
插件详情
严重性: Low
ID: 241440
文件名: splunk_943_cve-2025-20325.nasl
版本: 1.2
类型: combined
代理: windows, macosx, unix
系列: CGI abuses
发布时间: 2025/7/7
最近更新时间: 2025/7/11
配置: 启用偏执模式
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Low
基本分数: 2.1
时间分数: 1.6
矢量: CVSS2#AV:N/AC:H/Au:S/C:P/I:N/A:N
CVSS 分数来源: CVE-2025-20325
CVSS v3
风险因素: Low
基本分数: 3.1
时间分数: 2.7
矢量: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:splunk:splunk
必需的 KB 项: Settings/ParanoidReport, installed_sw/Splunk
易利用性: No known exploits are available
补丁发布日期: 2025/7/7
漏洞发布日期: 2025/7/7
参考资料信息
CVE: CVE-2025-20325
CWE: 200
IAVA: 2025-A-0502