Splunk hat eine schwerwiegende Sicherheitslücke (CVE-2025-20229) in älteren Versionen von Splunk Enterprise und der Splunk Cloud Platform veröffentlicht. Die Schwachstelle erlaubt es, durch den Upload einer Datei in das Verzeichnis $SPLUNK_HOME/var/run/splunk/apptemp, beliebigen Code auszuführen – und das bereits mit einem niedrig privilegierten Benutzerkonto ohne Admin- oder Power-Rolle. Ursache ist eine fehlende Autorisierungsprüfung, die einen Remote Code Execution (RCE)-Angriff ermöglicht.
Betroffen sind alle Splunk-Enterprise-Versionen unter 9.3.3, 9.2.5 und 9.1.8 sowie diverse Versionen der Splunk Cloud Platform. Der CVSS-Score liegt bei 8.0 und stuft die Lücke damit als hoch ein. Ein erfolgreicher Angriff kann gravierende Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit haben. Aktuell gibt es keine Workarounds oder Erkennungsmechanismen. Splunk empfiehlt dringend ein Update auf die gepatchten Versionen. Für Cloud-Kunden wird das Problem bereits aktiv behoben.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: