Kritische Sicherheitslücke in Splunk ermöglicht Remote Code Execution
Splunk hat eine schwerwiegende Sicherheitslücke (CVE-2025-20229) in älteren Versionen von Splunk Enterprise und der Splunk Cloud Platform veröffentlicht. Die Schwachstelle erlaubt es, durch den Upload einer Datei in das Verzeichnis $SPLUNK_HOME/var/run/splunk/apptemp, beliebigen Code auszuführen – und das bereits mit einem niedrig privilegierten Benutzerkonto ohne Admin- oder Power-Rolle. Ursache ist eine fehlende Autorisierungsprüfung, die einen Remote Code Execution (RCE)-Angriff ermöglicht.
Betroffen sind alle Splunk-Enterprise-Versionen unter 9.3.3, 9.2.5 und 9.1.8 sowie diverse Versionen der Splunk Cloud Platform. Der CVSS-Score liegt bei 8.0 und stuft die Lücke damit als hoch ein. Ein erfolgreicher Angriff kann gravierende Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit haben. Aktuell gibt es keine Workarounds oder Erkennungsmechanismen. Splunk empfiehlt dringend ein Update auf die gepatchten Versionen. Für Cloud-Kunden wird das Problem bereits aktiv behoben.