Splunk Windows版に高リスクの脆弱性(CVE-2025-20386,CVE-2025-20387) EnterpriseとUniversal Forwarderの両方が対象に

セキュリティニュース

投稿日時: 更新日時:

Splunk Windows版に高リスクの脆弱性(CVE-2025-20386,CVE-2025-20387) EnterpriseとUniversal Forwarderの両方が対象に

SplunkのWindows環境を利用する管理者に対し、至急のパッチ適用が呼びかけられています。Splunkは2025年12月3日、Windows版Splunk EnterpriseおよびSplunk Universal Forwarderにおいて、インストール/アップグレード時のアクセス権設定に不備が発生する脆弱性を公表しました。

この問題には、Splunk Enterprise向けのCVE-2025-20386と、Universal Forwarder向けのCVE-2025-20387が割り当てられており、いずれもCVSS 8.0(High)と評価されています。表向きは単純なパーミッション設定ミスですが、ローカル権限昇格や設定改ざんにつながり得るため、ログ基盤全体の信頼性を揺るがしかねない内容です。

影響を受ける製品とバージョン

今回の問題は、Windows版のSplunk EnterpriseとSplunk Universal Forwarderの両方に共通して発生します。Splunkが示している修正済みバージョンは以下のとおりです。

Splunk Enterprise(Windows)

次のバージョン帯で、Windows環境における新規インストールまたはアップグレード時に誤った権限設定が行われる可能性があります。

  • 10.0 系

    • 10.0.2 未満のバージョン

  • 9.4 系

    • 9.4.0〜9.4.5

  • 9.3 系

    • 9.3.0〜9.3.7

  • 9.2 系

    • 9.2.0〜9.2.9

修正バージョンは以下です。

  • 10.0.2

  • 9.4.6

  • 9.3.8

  • 9.2.10

Splunk Universal Forwarder(Windows)

Universal Forwarderについても、同様の権限設定不備が確認されています。対象となるバージョン帯と修正バージョンは、Enterpriseと同じ系列です。

  • 影響を受けるバージョン

    • 10.0 系: 10.0.2 未満

    • 9.4 系: 9.4.0〜9.4.5

    • 9.3 系: 9.3.0〜9.3.7

    • 9.2 系: 9.2.0〜9.2.9

  • 修正バージョン

    • 10.0.2

    • 9.4.6

    • 9.3.8

    • 9.2.10

Windows環境でこれらのバージョンを利用している場合は、Enterprise・Universal Forwarderのどちらもアップグレード対象と考える必要があります。

弱性の内容:インストールディレクトリのアクセス権が甘くなる不具合

Splunkのアドバイザリによると、問題は新規インストールまたはアップグレード時に、Windows版のインストールディレクトリに対して誤ったアクセス権が付与される点にあります。

  • Splunk Enterprise

    • 既定のインストール先:
      C:\Program Files\Splunk

  • Splunk Universal Forwarder

    • 既定のインストール先:
      C:\Program Files\SplunkUniversalForwarder

本来、これらのディレクトリは管理者やサービスアカウントに限定されるべきですが、脆弱性のあるバージョンでは、非管理者ユーザー(一般ユーザー)からもディレクトリおよび配下ファイルにアクセスできる状態になる可能性があります。

アドバイザリでは、これによりマシン上の非管理者ユーザーがディレクトリとその内容にアクセスできてしまうと明示されています。ログ収集・検索基盤を担うSplunkのインストールディレクトリに対し、一般ユーザーが読み書き可能になることは、機密性・完全性・可用性のいずれにとっても重大なリスクです。