.jpg)
Se ha revelado una vulnerabilidad de alta severidad en Splunk que afecta a sus productos Enterprise y Universal Forwarder para Windows, debido a permisos de archivo incorrectos durante la instalación y las actualizaciones.
La vulnerabilidad, rastreada como CVE-2025-20386 para Splunk Enterprise y CVE-2025-20387 para Universal Forwarder, permite a usuarios no administradores acceder a directorios de instalación sensibles y a su contenido, creando una vía para ataques de elevación de privilegios.
El fallo surge durante las instalaciones o actualizaciones de versión de los productos Splunk afectados en sistemas Windows.
El proceso de instalación asigna incorrectamente permisos a los directorios de instalación predeterminados C:\Program Files\Splunk para Enterprise y C:\Program Files\SplunkUniversalForwarder para Universal Forwarder.
Esta configuración errónea concede a los usuarios locales no privilegiados acceso de lectura y escritura a archivos de configuración sensibles.
| Métrica | Detalles |
|---|---|
| ID CVE | CVE-2025-20386 (Enterprise), CVE-2025-20387 (Forwarder) |
| Puntuación CVSS | 8.0 (Alta) |
| Vector CVSS | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
| CWE | CWE-732 (Asignación Incorrecta de Permisos) |
Los archivos ejecutables y otros componentes críticos deberían permanecer restringidos a los administradores.
Un atacante con acceso local podría explotar estos permisos para modificar la configuración del sistema, inyectar código malicioso o escalar sus privilegios al nivel de administrador.
Splunk califica ambas vulnerabilidades como CVSS 8.0 (severidad alta), lo que refleja el riesgo significativo para los entornos afectados.
El vector de ataque es adyacente a la red, requiriendo acceso autenticado e interacción del usuario. Pero el impacto se extiende a la confidencialidad, integridad y disponibilidad de los sistemas afectados.
La remediación inmediata requiere actualizar a las versiones parcheadas: Splunk Enterprise 10.0.2, 9.4.6, 9.3.8 o 9.2.10, y Universal Forwarder 10.0.2, 9.4.6, 9.3.8 o 9.2.10.
Para las organizaciones que no puedan actualizar inmediatamente, Splunk proporciona pasos de mitigación utilizando comandos icacls para reconfigurar los permisos del directorio. Eliminando los derechos de acceso inapropiados y reaplicando los controles de herencia adecuados.
Las organizaciones deberían priorizar el parcheo, dada la prominencia de Splunk Enterprise en las operaciones de seguridad en las empresas Fortune 500 y las agencias gubernamentales.
La vulnerabilidad afecta a todas las versiones de Windows compatibles y representa un riesgo significativo para la cadena de suministro si se explota en entornos defendidos.
Fuentes:
https://cybersecuritynews.com/splunk-enterprise-permission-vulnerabilities/
No hay comentarios:
Publicar un comentario