关键漏洞信息 Advisory ID: SVD-2025-1202 CVE ID: CVE-2025-20383 CVSSv3.1 Score: 4.3, Medium 描述 在Splunk Enterprise版本10.0.2、9.4.6、9.3.8和9.2.10以及Splunk Cloud Platform版本3.9.10、3.8.58和3.7.28以下的Splunk Secure Gateway应用中,低权限用户即使不持有“admin”或“power”角色,也能订阅并接收披露报告或警报标题和描述的移动推送通知。 解决方案 升级Splunk Enterprise到版本10.0.2、9.4.6、9.3.8、9.2.10或更高版本。 Splunk正在积极监控和修补Splunk Cloud Platform实例。 产品状态 缓解和变通方案 禁用Splunk Secure Gateway应用,如需管理应用和附加对象,请参阅文档。 严重性 Splunk将此漏洞评为4.3,中等严重程度,CVSSv3.1向量为CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N。 若未使用且从未在Splunk Secure Gateway应用上注册设备,影响应为无,严重性为信息性。