Splunk Enterprise の XSS 脆弱性 CVE-2025-20297 が FIX:セッション・ハイジャックなどの可能性

Splunk Enterprise XSS Vulnerability Let Attackers Execute Unauthorized JavaScript Code

2025/06/03 CyberSecurityNews — Splunk Enterprise プラットフォームに、深刻な反射型クロスサイト・スクリプティング (XSS) の脆弱性が発見された。この脆弱性の悪用に成功した、特権を持たない攻撃者は、不正な JavaScript コード実行の可能性を手にする。この脆弱性 CVE-2025-20297 が影響を及ぼす範囲は、Splunk Enterprise/Cloud Platform の複数のバージョンとなる。すでに同社は、この問題に対し、緊急のセキュリティ更新プログラムをリリースしている。

この反射型 XSS 脆弱性は、Splunk Enterprise ダッシュボード内の PDF 生成コンポーネントに存在し、pdfgen/render REST エンドポイントを標的とする攻撃で悪用されるという。

脆弱性 CVE-2025-20297 の詳細

この脆弱性により、最小限のシステム権限だけを持つ攻撃者であっても、悪意のペイロードを作成し、被害者のブラウザ上で任意の JavaScript コードを実行できてしまう。この脆弱性は CWE-79 (Cross-Site Scripting) に分類され、深刻度は中程度 (CVSSv3.1:4.3) と評価されている。

特に懸念されるのは、この攻撃の前提として必要になる権限が、Splunk の “admin“ または “power“ などの高度なものではなく、一般的な低権限ユーザーでも構わないという点だ。つまり、標準ユーザーの権限を持つ攻撃者であっても、この脆弱性を悪用して、他のユーザーのセッションを侵害する機会を得ることになる。

CVSSv3.1 のベクター文字列 (CVSS:3.1 /AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N) は、リモートからの攻撃が低権限で実行可能であり、複雑度が低く、ユーザー操作も不要であることを示している。

Risk FactorsDetails
Affected ProductsSplunk Enterprise, all releases below 9.4.2, 9.3.4, and 9.2.6Splunk Web component in Enterprise versions 9.4.1, 9.3.0 through 9.3.3, and 9.2.0 through 9.2.5
ImpactExecution of unauthorized JavaScript
Exploit PrerequisitesLow-privileged user (non-admin/power), Authenticated access to Splunk Web
CVSS 3.1 Score4.3 (Medium)

この脆弱性が影響を及ぼす範囲は、広範な Splunk 製品の、複数のバージョン・ブランチとなる:

  • Splunk Enterprise
    • バージョン 9.4.2/9.3.4/9.2.6 未満のすべてのリリース
    • バージョン 9.4.1/9.3.0〜9.3.3/9.2.0〜9.2.5 の Splunk Web コンポーネント
    • ※バージョン 9.1 は、影響を受けない。
  • Splunk Cloud Platform
    • 9.3.2411.102/9.3.2408.111/9.2.2406.118 未満

なお、この XSS 脆弱性は、PDF 生成機能を処理するための、Splunk Web コンポーネントに存在するため、Splunk Web が有効化されている環境のみが影響を受ける。この脆弱性の発見者は、Splunk のセキュリティ・チーム所属の Klevis Luli である。

緩和策

Splunk が Enterprise ユーザーに推奨するのは、パッチ適用済みのバージョン 9.4.2/9.3.4/9.2.6 以降への、速やかなアップグレードである。

Splunk Cloud Platform に関しては、インスタンスへの継続的な監視と、自動的なパッチ適用により、顧客のセキュリティは確保されている。

一時的な回避策として推奨されるのは、Splunk Web 機能を無効化して、攻撃ベクターを排除することである。そのための操作は、web.conf コンフィグ・ファイルを通じて実施できるが、ユーザー・エクスペリエンスやダッシュボードの機能に影響が生じる可能性があるため、適用には慎重な判断が求められる。

この脆弱性が悪用されると、セッション・ハイジャックや不正なコード実行につながる可能性があるため、迅速なアップデートが推奨される。

あわせて、それぞれ組織に対して推奨しているのは、ユーザー権限の設定の見直しと、すべての Splunk 環境にパッチが適用されるまでの間の、pdfgen/render エンドポイントに対する監視の強化である。

数多くのエンタープライズで使われている Splunk に、深刻な脆弱性が発見されました。Splunk Enterprise ダッシュボード内の、PDF 生成コンポーネントに存在するとのことなので、速やかなアップデートが不可能な場合には、その無効化で対処できるようですが、その他の機能に影響が及ぶ可能性もあるようです。ご利用のチームは、ご注意ください。よろしければ、Splunk で検索も、ご参照ください。