CVE-2025-20367

چکیده

آسیب‌پذیری Reflected XSS در Splunk Enterprise (نسخه‌های پیش از 9.4.4، 9.3.6 و 9.2.8) و Splunk Cloud Platform (نسخه‌های پیش از 9.3.2411.109، 9.3.2408.119 و 9.2.2406.122) شناسایی شده است. در این ضعف، کاربری با سطح دسترسی پایین که نقش‌های admin یا power را ندارد، می تواند از طریق پارامتر dataset.command در اندپوینت /app/search/table پیلود حاوی جاوااسکریپت مخرب ایجاد کند؛ این کد در مرورگر کاربران دیگر اجرا شده و ممکن است منجر به افشای داده‌های حساس یا انجام اقدامات ناخواسته شود.

توضیحات

آسیب‌پذیری CVE-2025-20367 در Splunk Enterprise و Splunk Cloud Platform، ناشی از Reflected XSS است که مطابق با CWE-79 (عدم خنثی‌سازی یا خنثی‌سازی نادرست ورودی‌های کاربر قبل از قرارگیری در خروجی صفحه وب) طبقه بندی می شود.

این ضعف در اندپوینت /app/search/table رخ می‌دهد، جایی که پارامتر dataset.command به‌طور درستی اعتبارسنجی نشده و به کاربر با سطح دسترسی پایین که نقش های admin یا power را ندارد، امکان تزریق پیلود جاوااسکریپت مخرب را می دهد. این پیلود در مرورگر کاربر دیگر مانند مدیر یا کاربر با سطح دسترسی بالا اجرا شده و می‌تواند منجر به سرقت اطلاعات حساس (مانند کوکی‌ها یا داده‌های نشست) یا تغییر رابط کاربری شود.

این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با استفاده از اسکریپت‌های مخرب یا ابزارهای خودکار، از راه دور و با داشتن حساب کاربری با دسترسی پایین، پیلودهای XSS را در پارامتر dataset.command تزریق کرده و لینک‌های مخرب را از طریق فیشینگ برای کاربران ارسال کند. پس از کلیک یا بارگذاری لینک توسط کاربر هدف، کد جاوااسکریپت در مرورگر اجرا شده و می تواند منجر به نقض محرمانگی و افشای داده های حساس شود.

Splunk این آسیب پذیری را در نسخه‌های 9.4.4، 9.3.6، 9.2.8 برای Splunk Enterprise و 9.3.2411.109، 9.3.2408.119، 9.2.2406.122 برای Splunk Cloud پچ کرده است و برای کاهش ریسک توصیه می‌کند Splunk Web غیرفعال شود.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Splunk Enterprise وSplunk Cloud Platform را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

این آسیب‌پذیری با شدت متوسط در Splunk Enterprise و Splunk Cloud ، امکان اجرای کد جاوااسکریپت مخرب در مرورگر کاربران را فراهم می‌کند. با توجه به انتشار پچ رسمی، اجرای فوری اقدامات زیر برای کاهش ریسک و افزایش امنیت ضروری است:

• به‌روزرسانی فوری: Splunk Enterprise را به نسخه‌های 9.4.4، 9.3.6، 9.2.8 یا 10.0.0 و Splunk Cloud را به نسخه‌های 9.3.2411.109، 9.3.2408.119 یا 9.2.2406.122 به روزرسانی کنید.
• غیرفعال کردن Splunk Web: در صورت عدم نیاز به Splunk Web آن را غیرفعال کنید تا ریسک XSS کاهش یابد.
• محدودسازی دسترسی: دسترسی کاربران با سطح دسترسی پایین به اندپوینت /app/search/table را با استفاده از RBAC محدود کرده و از فایروال اپلیکیشن وب (WAF) برای فیلتر کردن پیلودهای مخرب استفاده کنید.
• نظارت و ثبت لاگ (logging): لاگ‌های Splunk را برای شناسایی درخواست‌های مشکوک به /app/search/table یا الگوهای فیشینگ بررسی کنید.
• ایزوله‌سازی محیط: Splunk را در شبکه‌های تقسیم بندی شده اجرا کرده و دسترسی‌های خارجی را با VPN یا فایروال محدود کنید.
• تست و اسکن امنیتی: سیستم را با ابزارهای اسکن XSS بررسی کرده و تست نفوذ برای اندپوینت های Splunk Web انجام دهید.
• آموزش کاربران: کاربران و مدیران را در مورد ریسک XSS، فیشینگ و اهمیت اجتناب از کلیک روی لینک‌های مشکوک آموزش دهید.

اجرای این اقدامات، ریسک ناشی از این آسیب پذیری را به حداقل رسانده و امنیت Splunk را بهبود می‌بخشد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access — TA0001
پارامتر dataset.command در endpoint /app/search/table می‌تواند payload جاوااسکریپتی را بازتاب دهد، به‌طوری که یک لینک ساده یا URL مخرب کافی است تا مرورگر قربانی کد را اجرا کند و مهاجم از طریق اپلیکیشن در معرض وب دسترسی سمت‌کلاینتی ایجاد کند. مهاجم معمولاً لینک حاوی payload را از طریق ایمیل یا پیام‌رسان توزیع می‌کند؛ اجرای کد منوط به تعامل کاربر (کلیک/باز کردن لینک) است و این مرحله فیشینگ، مسیر ورود را فعال می‌کند.

Credential Access — TA0006
با اجرای اسکریپت در مرورگر قربانی، امکان خواندن cookie/session storage یا تزریق عملیات برای فرستادن آنها به سروری تحت کنترل مهاجم وجود دارد و در نتیجه مهاجم می‌تواند هویت کاربر را جعل کند.

Discovery — TA0007
کد جاوااسکریپت اجراشده می‌تواند درخواست‌هایی به منابع داخلی، صفحات مدیریتی یا API های خصوصی ارسال کند و نمایی از ساختار داخلی و سرویس‌های هدف برای برنامه‌ریزی حملات بعدی فراهم آورد.

Privilege Escalation — TA0004
با سرقت session یا توکن‌های کاربرانی با دسترسی بالاتر، مهاجم می‌تواند خود را به‌عنوان آن حساب معرفی کند و دسترسی‌ها را ارتقا دهد، عملاً از یک رخنه سطح پایین به کنترل سطوح بالاتر برسد.

Collection — TA0009
اسکریپت مخرب قادر است محتوای صفحه (نتایج جستجو، لاگ‌های نمایشی، فیلدهای حساس) را استخراج و به مهاجم ارسال کند

Lateral Movement — TA0008
اگر از طریق XSS credential یا توکن به‌دست آید، مهاجم می‌تواند با آن‌ها به API های مدیریتی یا سرویس‌های دیگر فراخوانی بزند و دامنه نفوذ را در داخل شبکه گسترش دهد.

Impact — TA0040
نتیجه نهایی می‌تواند افشای سشن‌ها و داده‌های حساس، تغییر تنظیمات یا حتی ایجاد اختلال در عملکرد سرویس باشد که ریسک‌های قانونی، تجاری و عملیاتی را فعال می‌کند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-20367
2. https://www.cvedetails.com/cve/CVE-2025-20367/
3. https://advisory.splunk.com/advisories/SVD-2025-1002
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-20367
5. https://vuldb.com/?id.326652
6. https://nvd.nist.gov/vuln/detail/CVE-2025-20367
7. https://cwe.mitre.org/data/definitions/79.html