Se ha divulgado una vulnerabilidad de alta severidad en Splunk que afecta sus productos Enterprise y Universal Forwarder en plataformas Windows, derivada de permisos de archivo incorrectos durante instalaciones y actualizaciones. Este fallo permite a usuarios sin privilegios acceder a directorios de instalación sensibles, facilitando ataques de escalamiento de privilegios con impacto en confidencialidad, integridad y disponibilidad. La explotación requiere acceso autenticado y cierta interacción del usuario.
CVE y severidad
| CVE | Producto | Severidad | Puntuación CVSS | Vector CVSS | CWE |
|---|---|---|---|---|---|
| CVE-2025-20386 | Splunk Enterprise | Alta | 8.0 | CVSS:3.1 | CWE-732 (Incorrect Permission Assignment) |
| CVE-2025-20387 | Splunk Universal Forwarder | Alta | 8.0 | CVSS:3.1 | CWE-732 (Incorrect Permission Assignment) |
Productos afectados
| Fabricante | Producto | Plataforma / SO | Versiones afectadas |
|---|---|---|---|
| Splunk Inc. | Splunk Enterprise | Windows (todas las versiones compatibles) | Antes de 10.0.2, 9.4.6, 9.3.8, 9.2.10 |
| Splunk Inc. | Splunk Universal Forwarder | Windows (todas las versiones compatibles) | Antes de 10.0.2, 9.4.6, 9.3.8, 9.2.10 |
Solución
Actualizar a Splunk Enterprise 10.0.2, 9.4.6, 9.3.8 o 9.2.10 y Universal Forwarder 10.0.2, 9.4.6, 9.3.8 o 9.2.10.
Recomendaciones
Priorizar la aplicación inmediata de parches para mitigar riesgos de escalamiento de privilegios y compromisos de configuración; Windows: verificar y reforzar los permisos de los directorios de instalación con herramientas como icacls para mitigar temporalmente.