Detalhes técnicos e CVEs
Os problemas foram catalogados como CVE-2025-20386 (Splunk Enterprise) e CVE-2025-20387 (Universal Forwarder). A atribuição apresentada nas fontes aponta para permissão inadequada em diretórios padrão de instalação (C:\Program Files\Splunk e C:\Program Files\SplunkUniversalForwarder), concedendo leitura e escrita a usuários não privilegiados.
Severidade e vetores
- CVSS: 8.0 (High) nas métricas divulgadas pela matéria.
- Vetor: instalação/atualização em sistemas Windows que resulta em herança/permissões incorretas.
- Impacto: modificação de configurações, injeção de código, potencial escalada de privilégios para conta administrativa local.
Mitigações e versões corrigidas
Splunk recomenda atualização para versões corrigidas: Splunk Enterprise 10.0.2, 9.4.6, 9.3.8 ou 9.2.10 e Universal Forwarder 10.0.2, 9.4.6, 9.3.8 ou 9.2.10.
Como mitigações alternativas, há comandos icacls para reconfigurar permissões nas pastas de instalação, removendo acessos indevidos e reativando herança correta.
Impacto organizacional
Considerando a ampla adoção do Splunk em equipes de segurança e operações (Fortune 500 e órgãos públicos citados na matéria), a falha representa um risco significativo se ambientes gerenciados permitirem contas locais não privilegiadas com acesso ao host afetado.
Limitações
As fontes descrevem o vetor e as versões com correção, mas não apresentam contagem pública de explorações ativas. Exploração requer acesso local ou adjacente à rede em que o instalador foi executado.
Recomendações rápidas
- Auditar instalações Splunk em Windows para verificar permissões de diretório e presença de usuários não autorizados.
- Aplicar as versões corrigidas indicadas pela Splunk o quanto antes.
- Se não puder atualizar imediatamente, aplicar as instruções icacls fornecidas pela própria Splunk como mitigação temporária.