Splunk Enterprise Vulnerabilities Allow Privilege Escalation Via Incorrect File Permissions
2025/12/05 CyberSecurityNews — Splunk が公表したのは、Windows 向け Enterprise/Universal Forwarder のインストール/アップグレード時における、不適切なファイル権限設定に起因する深刻な脆弱性である。この脆弱性に対しては、Splunk Enterprise では CVE-2025-20386 CVSS 8.0 (High) が、Splunk Universal Forwarder では CVE-2025-20387 CVSS 8.0 (High) が割り当てられている。管理者以外のユーザーであっても、機密性の高いインストール・ディレクトリとコンテンツへのアクセスが許されるため、権限昇格に至る可能性がある。
不適切な設定によるシステムへの権限昇格
この脆弱性は、Windows システム上で対象となる Splunk 製品を、新規インストール/アップデートする際に発生する。デフォルトのインストール・ディレクトリである “C:\Program Files\Splunk” および “C:\Program Files\SplunkUniversalForwarder” に対して、インストール・プロセスが不適切な権限を割り当てることで、この脆弱性が発生する。この設定の不備により、権限を持たないローカル・ユーザーであっても、機密性の高いコンフィグ・ファイルの Read/Write 権を取得する可能性がある。
| Metric | Details |
|---|---|
| CVE ID | CVE-2025-20386 (Enterprise), CVE-2025-20387 (Forwarder) |
| CVSS Score | 8.0 (High) |
| CVSS Vector | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
| CWE | CWE-732 (Incorrect Permission Assignment) |
本来であれば、実行可能なバイナリおよび重要コンポーネントへのアクセスは、管理者のみに制限される必要がある。しかし、ローカル・アクセス権を持つ攻撃者は、この権限設定を悪用することで、システム・コンフィグの変更/悪意のコードの挿入/管理者レベルへの権限昇格を可能にする。
Splunk は、影響を受ける環境に重大なリスクがあると認識している。攻撃ベクターはネットワークの攻撃者を前提としているが、認証済みアクセスおよびユーザー操作が必要となる。その一方で、この脆弱性の悪用が成功すると、対象システムの機密性/完全性/可用性が損なわれる恐れがある。
ユーザー組織にとって必要なことは、パッチ適用済みバージョン Splunk Enterprise 10.0.2/9.4.6/9.3.8/9.2.10、および、Splunk Universal Forwarder 10.0.2/9.4.6/9.3.8/9.2.10 へと速やかにアップグレードすることだ。
迅速なアップグレードが不可能な組織に対して、Splunk が提供する緩和策は、icacls コマンドを用いたディレクトリ権限の再設定である。つまり、不適切に割り当てられたアクセス権限の削除と、継承制御の適切な再適用が求められる。
Splunk Enterprise は、Fortune 500 企業や政府機関などの、多数の大規模組織でセキュリティ運用の基盤として採用されている。それらの組織に推奨されるのは、可能な限り早急にパッチを適用することである。この脆弱性は、サポート対象の全 Windows バージョンに影響する。
Splunk 製品のインストール時に設定されるファイル権限の不備が原因で、管理者以外のユーザーであっても重要なディレクトリにアクセスできてしまうという問題が生じています。アクセス制御が正しく行われないことで、設定ファイルの書き換えや悪意あるコード挿入につながり、結果として権限昇格が可能になる点がリスクになっていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Splunk での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.