Splunk SOAR Addresses Vulnerabilities in Third-Party Packages – Update Now
2025/07/09 gbhackers — Splunk が 2025年7月12日に公開したセキュリティ・アドバイザリによると、同社の SOAR (Security Orchestration, Automation and Response) に脆弱性が発見されたとのことだ。 このプラットフォームに取り込まれる十数種の OSS コンポーネントに、脆弱なバージョンのパッケージが含まれることが判明しており、その中には、すでにエクスプロイトが公開されている欠陥もあるという。
同社のアドバイザリ SVD-2025-0712 によると、すでに Splunk SOAR バージョン 6.4.0/6.4.1 でパッチが適用されているため、すべての管理者に推奨されるのは、6.4.1 以降への速やかなアップグレードとなる。
それぞれの脆弱性の深刻度の分類について Splunk は、NVD (National Vulnerability Database) に基づくと強調している。
それらの脆弱性の大半は、ユーザー操作を必要とせずに、リモートからの侵害を許す可能性があるため、オンプレミス/クラウドで Splunk SOAR 6.4.0 未満を使用するユーザー組織は、きわめて高いリスクに直面することになる。
SOC チームにとって必要なことは、最新版のテストと導入を優先し、Automation Brokers も最新であることを確認し、プレイブック内の依存関係を再点検することである。
| Package | Patched Version / Remediation | CVE ID(s) | Severity |
| git | v2.48.1 | CVE-2024-32002 | Critical |
| @babel/runtime | v7.26.10 | CVE-2025-27789 | Medium |
| django | v4.2.20 (Automation Broker) | CVE-2024-45230 | High |
| cryptography | v44.0.1 | CVE-2024-12797 | Medium |
| pyOpenSSL | v24.3.0 | CVE-2024-12797 | Medium |
| jquery DataTables | v1.13.11 | CVE-2020-28458, CVE-2021-23445 | High |
| DomPurify | v3.2.4 | CVE-2024-45801, CVE-2024-47875 | High |
| wkhtml | Removed | CVE-2022-35583 | High |
| cross-spawn | v7.0.6 | CVE-2024-21538 | High |
| @babel/traverse | v7.26.7 | CVE-2024-48949 | Critical |
| setuptools | v75.5.0 (6.4.0), v78.1.0 (6.4.1) | CVE-2024-6345 | High |
| axios | v1.7.9 (6.4.0), v1.8.3 (6.4.1) | CVE-2024-39338 | High |
| jinja | v3.1.4 | CVE-2024-34064 | Medium |
| tornado | v6.4.2 | CVE-2024-52804 | High |
| avahi-daemon | ‘enable-wide-area’ set to no | CVE-2024-52616 | Medium |
| werkzeug | v3.0.6 | CVE-2024-49767 | High |
Git の脆弱性 CVE-2024-32002
この Git の脆弱性は、積極的な悪用が確認されており、再帰的なクローン操作中に任意のコード実行の可能性が生じる。
具体的には、悪意のサブモジュールを武器化する攻撃者が、”.git/” ディレクトリ内にフックを仕込み、それらを自動的に実行できるようになるという。
SOAR のプレイブックでは、Git を介してコンテンツを取得することが多いため、パッチが適用されていないエンジンが使用されると、アナリストが見過ごす悪意のスクリプトの実行に至るという。
@babel/traverse の脆弱性 CVE-2024-48949
この脆弱性は、AST (Abstract Syntax Tree) のトラバーサルにおけるプロトタイプ汚染に起因する。侵害された AST ノードには、ビルド・パイプラインや JavaScript の評価時に、任意のコード実行を許すというリスクが生じる。Splunk は、@babel/traverse のバージョンを 7.26.7 へと更新することで、この攻撃経路を遮断している。
今回の Splunk アドバイザリが浮き彫りにするのは、このようなセキュリティ・プラットフォームであっても、数百のアップストリーム・プロジェクトに依存しているという、ソフトウェア・サプライチェーンの現実である。
脆弱性対応までの時間を短縮するためには、CI/CD パイプラインに SBOM (Software Bill of Materials) チェックを統合し、ベンダーからのアドバイザリをサブスクライブし、自動パッチ管理ツールを活用することが効果的である。
Splunk SOAR に関する今回の脆弱性情報は、セキュリティ製品であっても、外部の OSS に依存するという現実を示しています。文中で指摘されている、複数のパッケージに深刻な欠陥が含まれており、すでに悪用が確認されたものもあると、この記事は指摘しています。ご利用のチームは、ご注意ください。このアップデートと並行して Splunk Enterprise のアドバイザリ SVD-2025-0710 では、golang crypto/net などの脆弱性が修正されています。よろしければ、カテゴリ Repository も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.