关键漏洞信息 漏洞概述 Advisory ID: SVD-2025-0704 CVE ID: CVE-2025-20321 CVSSv3.1 Score: 6.5, Medium CWE: CWE-352 Bug ID: VULN-26031 描述 在Splunk Enterprise版本低于9.4.3、9.3.5、9.2.7和9.1.10,以及Splunk Cloud Platform版本低于9.3.2411.104、9.3.2408.114和9.2.2406.119的情况下,未授权攻击者可以通过发送特制的SPL搜索请求,利用跨站请求伪造(CSRF)漏洞更改Splunk Search Head Cluster(SHC)中的成员状态,可能导致删除SHC的队长或成员。此漏洞需要攻击者诱骗管理员级别的受害者在浏览器中发起请求。 解决方案 升级Splunk Enterprise至9.4.3、9.3.5、9.2.7、9.1.10或更高版本。 Splunk正在积极监控并修补Splunk Cloud Platform实例。 影响产品状态 缓解措施和变通方法 受影响的实例启用了Splunk Web。可以关闭Splunk Web作为可能的变通方法。 检测 无 严重性 Splunk将此漏洞评为6.5,中等,CVSSv3.1向量为CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H。如果未启用Search Head Clustering,则不应有影响,严重性将为信息性。 致谢 Anton (thercerman)