Uma vulnerabilidade de alta gravidade foi divulgada no Splunk, afetando seus produtos Enterprise e Universal Forwarder para Windows, decorrente de permissões de arquivo incorretas durante a instalação e atualizações.
A vulnerabilidade, rastreada como CVE-2025-20386 para Splunk Enterprise e CVE-2025-20387 para Universal Forwarder.
Permite que usuários não administradores acessem diretórios de instalação confidenciais e seus conteúdos, criando um caminho para ataques de escalonamento de privilégios.
Permissões de arquivo inadequadas para obter acesso elevado ao sistema
A falha surge durante novas instalações ou atualizações de versão de produtos Splunk afetados em sistemas Windows.
O processo de instalação atribui incorretamente permissões aos diretórios de instalação padrão C:\Program Files\Splunk for Enterprise e C:\Program Files\SplunkUniversalForwarder for Universal Forwarder.
Essa configuração incorreta concede aos usuários locais sem privilégios acesso de leitura e gravação a arquivos de configuração confidenciais.
MetricDetailsCVE IDCVE-2025-20386 (Enterprise), CVE-2025-20387 (Forwarder) Pontuação CVSS8,0 (Alta) Vetor CVSSCVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:HCWECWE-732 (Atribuição de permissão incorreta)
Binários executáveis e outros componentes críticos devem permanecer restritos aos administradores.
Um invasor com acesso local poderia explorar essas permissões para modificar a configuração do sistema, injetar código malicioso ou aumentar seus privilégios para o nível de administrador.
O Splunk classifica ambas as vulnerabilidades como CVSS 8.0 (alta gravidade), refletindo o risco significativo para os ambientes afetados.
O vetor de ataque é adjacente à rede, exigindo acesso autenticado e interação do usuário. Mas o impacto estende-se à confidencialidade, integridade e disponibilidade dos sistemas afetados.
A correção imediata requer atualização para as versões corrigidas: Splunk Enterprise 10.0.2, 9.4.6, 9.3.8 ou 9.2.10 e Universal Forwarder 10.0.2, 9.4.6, 9.3.8 ou 9.2.10.
Para organizações que não conseguem atualizar imediatamente, o Splunk fornece etapas de mitigação usando comandos icacls para reconfigurar permissões de diretório. Remover direitos de acesso inadequados e reaplicar controles de herança adequados.
As organizações devem priorizar a aplicação de patches, dada a proeminência do Splunk Enterprise em operações de segurança em empresas da Fortune 500 e agências governamentais.
A vulnerabilidade afeta todas as versões suportadas do Windows e representa um risco significativo para a cadeia de suprimentos se explorada em ambientes protegidos.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
