官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
漏洞概况
2025年12月5日,安全研究人员发现影响Splunk Enterprise平台和Universal Forwarder组件的两个高危漏洞(CVE-2025-20386、CVE-2025-20387,CVSS评分8.0)。该漏洞源于软件在Windows系统部署时错误配置文件权限,导致非管理员用户可访问Splunk安装目录及其全部内容。
技术细节
该漏洞并非传统远程代码执行漏洞,而是通过本地安全降级扩大攻击面。在受影响版本中:
- 新安装或升级操作会导致
C:\Program Files\Splunk和C:\Program Files\SplunkUniversalForwarder目录权限配置错误 - 标准用户可读取敏感配置文件、日志,甚至可能篡改目录内文件
- 影响Windows环境下10.0.2/9.4.6/9.3.8/9.2.10以下版本的核心平台与转发代理
修复方案
Splunk官方已发布修复版本,建议用户立即升级至:
- Splunk Enterprise 10.0.2/9.4.6/9.3.8/9.2.10或更高
- Universal Forwarder对应版本
对于无法立即升级的用户,可通过Windows icacls工具执行以下命令手动修复:
- 禁用继承权限:
icacls.exe "<安装目录路径>" /inheritance:d - 移除内置用户组权限:
icacls.exe "<安装目录路径>" /remove:g *BU/T/C - 移除认证用户组权限:
icacls.exe "<安装目录路径>" /remove:g *S-1-5-11/T/C - 安全启用继承权限:
icacls.exe "<安装目录路径>" /inheritance:e /T/C
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)