Splunkで重大な脆弱性、対象者はアップデートを推奨(CVE-2025-20229、CVE-2025-20231)

Splunkで重大な脆弱性(CVE-2025-20229、CVE-2025-20231)が発生しており、パッチがリリースされています。対象者はアップデートする事をお勧めします。

CVE-2025-20229（CVSS 8.0）

低権限ユーザーによるリモートコード実行（RCE）の可能性

この脆弱性は、Splunk Enterpriseのファイルアップロード処理における認可チェック漏れに起因しています。
具体的には、権限の低いユーザーでも、以下のディレクトリに任意ファイルをアップロード可能です

$SPLUNK_HOME/var/run/splunk/apptemp

このファイルが後続処理で実行可能な形式で扱われることで、結果的に任意コードが実行可能となります。

Splunk社の公式コメントによると「“admin”や“power”ロールを持たない低権限ユーザーでもRCEが可能であり、攻撃対象が広い」としています。

影響バージョン（Splunk Enterprise）

• 9.1.0 ～ 9.1.7

• 9.2.0 ～ 9.2.4

• 9.3.0 ～ 9.3.2

修正済みバージョン

• 9.1.8

• 9.2.5

• 9.3.3

• 9.4.0

※Splunk Cloud Platformについても影響がありますが、同社が段階的に修正を進行中です。

脆弱性 CVE-2025-20231

こちらは、Splunk Secure Gateway Appが出力するログにおいて、認証トークンやセッション情報が平文で記録されてしまうという問題です。

影響を受けるログファイル：

$SPLUNK_HOME/var/log/splunk/splunk_secure_gateway.log

特に/services/ssg/secretsエンドポイントへのアクセス時に情報が記録され、攻撃者によりセッションの乗っ取りや検索権限の悪用が行われる恐れがあります。

Splunkはこの点について「攻撃にはユーザーを誘導する“フィッシング”が必要だが、漏洩したトークンが使われるリスクは高い」と警告しています。

影響バージョン

Splunk Enterprise

• 9.4.1未満のすべてのバージョン

Splunk Secure Gateway App

• 3.8.38未満

• 3.7.23未満

脆弱性の対策バージョン

• 9.4.1以上
• 9.3.3以上
• 9.2.5以上
• 9.1.8 以上

Splunk Cloud Platform インスタンスを積極的に監視し、パッチを適用しています。

一時的な対策

• Secure Gateway Appを使用していない場合は、削除または無効化することで影響を回避可能

関連記事

Ivanti Connect Secureに深刻な脆弱性(CVE-2025-22467) Ciscoがメール セキュリティ製品（Security Email Gateway）の重大な脆弱性を修正（CVE-2024-20401） VeeamのVeeam Backup Enterprise Managerで重大な認証バイパスのバグを警告（CVE-2024-29849） NEC「Aterm」シリーズのルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性も VMwareのvCenterで重大な脆弱性のパッチがリリース　今すぐ適用を（CVE-2024-37079、CVE-2024-37080、CVE-2024-37081） Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283) ImageMagick、Linuxカーネル、SonicWallの既知脆弱性が攻撃の標的に GitHub Enterprise Serverで重大な脆弱性(CVE-2024-6800) Citrix、NetScalerアプライアンスへのパスワードスプレー攻撃について注意喚起