Splunk、未認証のブラインドSSRF脆弱性(CVE-2025-203716件)を含む6件の脆弱性を修正|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2025年10月06日更新日時: 2025年10月06日

2025年10月1日、Splunkは、Splunk Enterprise および Splunk Cloud Platform に影響する合計6件の脆弱性を公表・修正しました。深刻度はHigh〜Mediumで、未認証で成立し得るSSRF（Server-Side Request Forgery）、複数のXSS、XXE、アクセス制御不備、LDAP悪用によるDoSなどが含まれます。お使いの環境が該当する場合は、該当パッチへの更新を最優先してください。

1 脆弱性、CVE-2025-20371の概要
2 その他の脆弱性
3 対応バージョンとアップデート指針

脆弱性、CVE-2025-20371の概要

Splunk Enterprise／Splunk Cloud の “Splunk Web” に起因する未認証のブラインドSSRF脆弱性です。web.conf の enableSplunkWebClientNetloc が有効な環境で、攻撃者が細工したリンクやページにユーザー（とくに高権限ユーザー）を誘導すると、Splunk Web がサーバー側から任意のネットワーク先へリクエストを送ってしまう可能性があります。

レスポンス本文が直接攻撃者に返らない“ブラインド”型であっても、管理用REST API（例：管理ポート 8089 など）に対する状態変更系リクエスト（ユーザー／ロールの変更、トークン発行、保存済み検索の作成・改変など）を“認証済みユーザーの文脈”で実行させられる恐れがあり、権限濫用・横展開・データアクセスに発展し得ます。さらに、内部サービス（例：メタデータサービス 169.254.169.254 など）への到達に悪用されると、機微情報の取得や追加攻撃の足掛かりを与えるリスクもあります。

その他の脆弱性

CVE-2025-20366（Medium）— バックグラウンドジョブのアクセス制御不備（SVD-2025-1001）
- 低権限ユーザーでも、管理者がバックグラウンドで実行した検索ジョブのSID（Search ID）を推測できると機密検索結果にアクセスできる可能性。
- 影響バージョン（Enterprise）：9.4.0〜9.4.3 / 9.3.0〜9.3.5 / 9.2.0〜9.2.7（10.0.0は不影響）
- 修正版：9.4.4 / 9.3.6 / 9.2.8（Cloudは相当パッチが順次適用）
- ワークアラウンド：影響は Splunk Web 有効時。一時的に Splunk Web を無効化する運用回避も可能。
CVE-2025-20367（Medium）— 反射型XSS（/app/search/table の dataset.command）
- 低権限ユーザーが細工したペイロードでブラウザ上に任意JSを実行させる恐れ。即時アップデート推奨。
CVE-2025-20368（Medium）— 保存済み検索のエラーメッセージ等を悪用する蓄積型XSS
- 保存検索のエラーやジョブ検査情報経由でXSSが持続的に発火する可能性。
CVE-2025-20369（Medium）— ダッシュボードのタブラベルにおけるXXE（DoS誘発の恐れ）
- XML外部実体参照（XXE）によりDoSを引き起こす可能性。
CVE-2025-20370（Medium）— 多数のLDAPバインド要求によるDoS
- 役割に change_authentication 能力を持つユーザーが多数のLDAP bindを送ることで高負荷→停止を誘発。
- 対策：アップデート（報告では 10.0.1 / 9.4.4 / 9.3.6 / 9.2.8 など）、該当能力の付与見直し。

対応バージョンとアップデート指針

Splunk Enterprise
- アクセス制御不備（CVE-2025-20366）に対しては 9.4.4 / 9.3.6 / 9.2.8 が最小修正版（10.0.0は該当不具合の影響なし）。
- 他の不具合（例：LDAP DoS）では 10.0.1 以降が必要になるケースがあります。最新安定版への更新を推奨します。
Splunk Cloud Platform
- Splunk側で監視・パッチ展開を進行。管理コンソールのリリースノート／メンテナンス通知を確認し、お客様側の回避設定（下記）も検討してください。