Splunk 高危漏洞：攻击者可通过文件上传执行任意代码

Splunk 近日发布补丁 ，高危攻击修复了影响 Splunk Enterprise 和 Splunk Cloud Platform 的漏洞高危远程代码执行（RCE）漏洞。该漏洞编号为 CVE-2025-20229，可执行可能允许低权限用户通过上传恶意文件执行任意代码。通过

漏洞影响范围

该漏洞存在于以下版本中：

Splunk Enterprise：9.3.3 、文件9.2.5 和 9.1.8 之前的上传版本Splunk Cloud Platform ：9.3.2408.104 、服务器租用9.2.2406.108、任意9.2.2403.114 和 9.1.2312.208 之前的代码版本

根据 Splunk 的安全公告，即使没有"admin"或"power"权限的高危攻击低权限用户也可利用此漏洞
。攻击者通过向"$SPLUNK_HOME/var/run/splunk/apptemp"目录上传文件 ，源码库漏洞即可绕过必要的可执行授权检查。

Splunk 为该漏洞评定的通过 CVSSv3.1 分数为 8.0（高危） ，攻击向量为 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H。文件

修复建议

Splunk 建议用户采取以下措施修复漏洞：

Splunk Enterprise 用户 ：升级至 9.4.0、上传9.3.3、建站模板任意9.2.5、9.1.8 或更高版本Splunk Cloud Platform 用户
：Splunk 正在主动监控和修补实例Splunk Secure Gateway 应用漏洞

除上述 RCE 漏洞外
，Splunk 还披露了影响 Splunk Secure Gateway 应用的另一个高危漏洞（CVE-2025-20231）
。该漏洞可能允许低权限用户以高权限用户的权限进行搜索，导致敏感信息泄露。模板下载

产品

受影响版本

修复版本

Splunk Enterprise

9.3.0-9.3.2, 9.2.0-9.2.4, 9.1.0-9.1.7

9.3.3, 9.2.5, 9.1.8, 9.4.0

Splunk Cloud Platform

9.3.2408.100-9.3.2408.103, 9.2.2406.100-9.2.2406.107, 低于 9.2.2403.113, 低于 9.1.2312.207

9.3.2408.104, 9.2.2406.108, 9.2.2403.114, 9.1.2312.208

Splunk Secure Gateway App

低于 3.8.38, 低于 3.7.23

3.8.38, 3.7.23

漏洞详情

当调用/services/ssg/secretsREST 端点时 ，Splunk Secure Gateway 会在 splunk_secure_gateway.log 文件中以明文形式暴露用户会话和授权令牌 。成功利用此漏洞需要攻击者诱骗受害者在浏览器中发起请求。

Splunk 将该漏洞评为高危，CVSSv3.1 分数为 7.1，攻击向量为 CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H 。

解决方案

Splunk 建议：

升级 Splunk Enterprise 至 9.4.1
 、免费模板9.3.3、9.2.5 和 9.1.8 或更高版本Splunk Cloud Platform 实例正在主动修补中

用户可临时禁用 Splunk Secure Gateway 应用作为缓解措施，但这可能影响 Splunk Mobile、Spacebridge 和 Mission Control 用户的功能
。Splunk 建议客户及时关注安全更新并尽快应用补丁，以保护系统免受潜在攻击。源码下载