Multiple Splunk Enterprise Vulnerabilities Let Attackers Execute Unauthorized JavaScript code
2025/10/02 CyberSecurityNews — Splunk が発表したのは、Splunk Enterprise/Cloud Platform 製品に存在する、複数の脆弱性に対するパッチである。これらの脆弱性を悪用する攻撃者は、不正な JavaScript コードの実行/機密情報へのアクセス/サービス拒否 (DoS) などの攻撃を仕掛ける可能性がある。2025年10月1日に公開された、これらのアドバイザリでは、深刻度 Medium〜High レベルの6件のセキュリティ上の欠陥について詳細に説明されている。
SSRF の脆弱性
最も深刻なものは、サーバサイド・リクエスト・フォージェリ (SSRF) の脆弱性 CVE-2025-20371 であり、CVSS スコアは 7.5 と高い値になっている。
この脆弱性を悪用する未認証の攻撃者は、ブラインド SSRF をトリガーし、認証済みの高権限ユーザーに成りすまし、REST API コールを実行する可能性を手にする。
この脆弱性を悪用する前提としては、enableSplunkWebClientNetloc コンフィグの有効化が必要であるが、被害者にフィッシング攻撃を仕掛けて、ブラウザからリクエストを開始させるという手口がある。
コード実行/情報漏洩の脆弱性
以下の3つの脆弱性は、クロスサイト・スクリプティング (XSS) の一種であり、不正な JavaScript コードの実行を引き起こす。
CVE-2025-20367 (CVSS:5.7):低権限のユーザーであっても、特定のエンドポイントの “dataset.command” パラメータを介して悪意のペイロードを作成し、ユーザーのブラウザ上で JavaScript コードを実行させる可能性がある。
CVE-2025-20368 (CVSS:5.7):低権限のユーザーであっても、保存済み検索のエラー・メッセージやジョブ検査の詳細に、悪意のペイロードを挿入し、不正なコード実行を引き起こす可能性がある。
CVE-2025-20366 (CVSS:6.5):情報漏洩の脆弱性である。攻撃シナリオとして考えられるのは、”admin” や “power” のロールを持たない低権限のユーザーが、バックグラウンドで実行されている管理検索ジョブの結果にアクセスするケースなどである。その結果として、攻撃者がジョブの Search ID (SID) を正しく推測した場合には、機密性の高い検索結果が不正に取得される可能性がある。
サービス拒否 (DoS)/XXE の脆弱性
今回のセキュリティ・アップデートでは、システムの可用性/整合性に影響を及ぼす可能性のある、深刻度 Medium レベルの2件の脆弱性も修正されている。
CVE-2025-20370 (CVSS:4.9):”change_authentication” 権限を持つユーザーが、内部エンドポイントに複数の LDAP バインド・リクエストを送信することで、CPU 使用率の上昇とインスタンスの再起動が引き起こされ、DoS 攻撃が発生する可能性がある。
CVE-2025-20369 (CVSS:4.6):低権限のユーザーであっても、ダッシュボードのタブラベル・フィールドを介して XML External Entity (XXE) インジェクションを引き起こす可能性があり、DoS 攻撃につながる恐れがある。
影響を受ける製品と緩和策
これらの脆弱性が影響を及ぼす範囲は、Splunk Enterprise/Cloud Platform の複数のバージョンになる。具体的には、Splunk Enterprise のバージョン 9.4.4/9.3.6/9.2.8 未満が対象となる。また、一部の脆弱性については、バージョン 10.0.0 も影響を受ける。
Splunk がユーザーに対して強く推奨するのは、以下のバージョン以降への速やかなアップグレードである。
| CVE ID | Vulnerability Type | CVSS 3.1 Score | Affected Product | Affected Versions | Fixed Versions |
|---|---|---|---|---|---|
| CVE-2025-20366 | Information Disclosure | 6.5 (Medium) | Splunk Enterprise | 9.4.0 – 9.4.3 9.3.0 – 9.3.5 9.2.0 – 9.2.7 | 9.4.4 9.3.6 9.2.8 |
| Splunk Cloud Platform | Below 9.3.2411.111 Below 9.3.2408.119 Below 9.2.2406.122 | 9.3.2411.111 9.3.2408.119 9.2.2406.122 | |||
| CVE-2025-20367 | Cross-Site Scripting (XSS) | 5.7 (Medium) | Splunk Enterprise | 9.4.0 – 9.4.3 9.3.0 – 9.3.5 9.2.0 – 9.2.7 | 9.4.4 9.3.6 9.2.8 |
| Splunk Cloud Platform | Below 9.3.2411.109 Below 9.3.2408.119 Below 9.2.2406.122 | 9.3.2411.109 9.3.2408.119 9.2.2406.122 | |||
| CVE-2025-20368 | Cross-Site Scripting (XSS) | 5.7 (Medium) | Splunk Enterprise | 9.4.0 – 9.4.3 9.3.0 – 9.3.5 9.2.0 – 9.2.7 | 9.4.4 9.3.6 9.2.8 |
| Splunk Cloud Platform | Below 9.3.2411.108 Below 9.3.2408.118 Below 9.2.2406.123 | 9.3.2411.108 9.3.2408.118 9.2.2406.123 | |||
| CVE-2025-20369 | XXE Injection | 4.6 (Medium) | Splunk Enterprise | 9.4.0 – 9.4.3 9.3.0 – 9.3.5 9.2.0 – 9.2.7 | 9.4.4 9.3.6 9.2.8 |
| Splunk Cloud Platform | Below 9.3.2411.108 Below 9.3.2408.118 Below 9.2.2406.123 | 9.3.2411.108 9.3.2408.118 9.2.2406.123 | |||
| CVE-2025-20370 | Denial of Service (DoS) | 4.9 (Medium) | Splunk Enterprise | 10.0.0 9.4.0 – 9.4.3 9.3.0 – 9.3.5 9.2.0 – 9.2.7 | 10.0.1 9.4.4 9.3.6 9.2.8 |
| Splunk Cloud Platform | Below 9.3.2411.108 Below 9.3.2408.118 Below 9.2.2406.123 | 9.3.2411.108 9.3.2408.118 9.2.2406.123 | |||
| CVE-2025-20371 | Server-Side Request Forgery (SSRF) | 7.5 (High) | Splunk Enterprise | 10.0.0 9.4.0 – 9.4.3 9.3.0 – 9.3.5 9.2.0 – 9.2.7 | 10.0.1 9.4.4 9.3.6 9.2.8 |
| Splunk Cloud Platform | Below 9.3.2411.109 Below 9.3.2408.119 Below 9.2.2406.122 | 9.3.2411.109 9.3.2408.119 9.2.2406.122 |
なお、Splunk Cloud Platform に関しては、すべてのインスタンスに対するパッチ適用を行い、その完了後にユーザーに通知するとしている。
迅速なアップデートが不可能なユーザーのために、いくつかの回避策が用意されている。一般的な緩和策として挙げられるのは、Splunk Web が不要な場合には、それを無効化することだ。また、SSRF の脆弱性 CVE-2025-20371 については、”web.conf” ファイルで “enableSplunkWebClientNetloc = false” を設定することでリスクを軽減できる。
Splunk の一連の脆弱性は、実装上の境界チェック不足や、コンフィグへの依存などが原因となるものです。具体的に言うと、入力に対する無害化の不足による XSS や、外部入力が内部 API へ届いてしまう SSRF、Search ID (SID) の推測から生じる情報漏洩などがあります。ご利用のチームは、ご注意ください。よろしければ、Splunk で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.