Splunk แก้ไขช่องโหว่ความปลอดภัยหลายสิบรายการ ใน Splunk Enterprise และ Secure Gateway App

Splunk ประกาศออกแพตช์แก้ไขช่องโหว่ความปลอดภัยหลายสิบรายการในผลิตภัณฑ์ต่างๆ รวมถึงช่องโหว่ระดับรุนแรงสูงสองรายการที่อาจถูกโจมตีโดยผู้ใช้งานที่มีสิทธิ์ต่ำเพื่อรันโค้ดจากระยะไกลและเข้าถึงข้อมูลสำคัญ

ช่องโหว่แรกที่ได้รับการแก้ไขคือ CVE-2025-20229 (คะแนนความรุนแรง CVSS 8.0) ซึ่งเป็นช่องโหว่ Remote Code Execution ใน Splunk Enterprise ที่เกิดจากการขาดการตรวจสอบสิทธิ์ที่เหมาะสม ทำให้ผู้โจมตีสามารถอัปโหลดไฟล์ไปยังไดเรกทอรี ‘$SPLUNK_HOME/var/run/splunk/apptemp’ ได้ บริษัทได้แก้ไขช่องโหว่นี้ใน Splunk Enterprise เวอร์ชัน 9.4.0, 9.3.3, 9.2.5 และ 9.1.8 รวมถึง Splunk Cloud Platform เวอร์ชัน 9.3.2408.104, 9.2.2406.108, 9.2.2403.114 และ 9.1.2312.208

ช่องโหว่ที่สองเป็นปัญหาการเปิดเผยข้อมูลที่มีความรุนแรงสูงซึ่งส่งผลกระทบทั้ง Splunk Enterprise และแอป Splunk Secure Gateway บน Splunk Cloud Platform โดยแอป Secure Gateway ได้เปิดเผย user session และ authorization tokens ในรูปแบบข้อความ clear text ในไฟล์ splunk_secure_gateway.log เมื่อมีการเรียกใช้ endpoint /services/ssg/secrets REST ผู้โจมตีอาจใช้ช่องโหว่นี้เป็นส่วนหนึ่งของการโจมตีฟิชชิ่งที่หลอกให้เหยื่อเริ่มต้นคำขอในเบราว์เซอร์ บริษัทได้แก้ไขช่องโหว่นี้ใน Splunk Enterprise เวอร์ชัน 9.4.1, 9.3.3, 9.2.5 และ 9.1.8 รวมถึง Secure Gateway เวอร์ชัน 3.8.38 และ 3.7.23

นอกจากนี้ Splunk ยังได้แก้ไขช่องโหว่ความรุนแรงระดับกลางใน Splunk Enterprise ที่อาจนำไปสู่การแก้ไขโหมดบำรุงรักษา, การหลีกเลี่ยงการป้องกัน, การเปิดเผยข้อมูล และการจัดการข้อมูลผู้ใช้รายอื่น รวมถึงช่องโหว่ความรุนแรงต่ำใน Splunk App for Lookup Editing และช่องโหว่ใน 3rd-party package อีกหลายรายการ Splunk ระบุว่ายังไม่พบการโจมตีใดๆ ที่ใช้ประโยชน์จากช่องโหว่เหล่านี้ แต่แนะนำให้ผู้ใช้งานอัปเดต Splunk Enterprise และแอปพลิเคชันอื่นๆ ที่ได้รับผลกระทบโดยเร็วที่สุด

ที่มา: https://www.securityweek.com/splunk-patches-dozens-of-vulnerabilities/

share :