Se ha identificado una vulnerabilidad media en Splunk Enterprise y Splunk Cloud Platform que permite a atacantes con privilegios bajos ejecutar código JavaScript no autorizado a través de un fallo de tipo Cross-Site Scripting (XSS) reflejado.
Estas vulnerabilidades, si son explotadas, podrían representar un riesgo significativo para las organizaciones que dependen de la plataforma de análisis de datos de Splunk para la supervisión de seguridad y las operaciones de inteligencia empresarial.
- CVE-2025-20297 (CVSS: 4.3): Esta vulnerabilidad reside en el componente de generación de PDFs del dashboard de Splunk, específicamente en el endpoint REST pdfgen/render, lo que permite que usuarios con pocos privilegios que no poseen roles de “administrador” o “power” creen cargas útiles maliciosas dirigidas a dicho endpoint.
Esta vulnerabilidad permite la ejecución remota de código JavaScript en el contexto del navegador de la víctima, comprometiendo sesiones de usuarios autenticados.
Productos, versiones afectadas y corregidas:
| Producto | Versión afectada | Versión corregida |
| Splunk Enterprise | Inferiores a 9.4.2, 9.3.4 y 9.2.6. | 9.4.2, 9.3.4, 9.2.6 o superior |
| Splunk Cloud Platform | Anteriores a 9.3.2411.102, 9.3.2408.111 y 9.2.2406.118. | será actualizado automáticamente |
Para componente Splunk Web (PDF generation) se sugiere deshabilitarlo mediante los siguientes pasos:
- Modificar el archivo de configuración web.conf para desactivar esta funcionalidad.
- Nota: Esta medida puede afectar la experiencia del usuario y las funcionalidades del dashboard.
Recomendaciones:
- Actualizar Splunk Enterprise a la última versión disponible lo antes posible para mitigar los riesgos potenciales.
- Aplicar el principio de privilegio mínimo para reducir el riesgo de explotación.
- Monitorear el endpoint pdfgen/render por posibles intentos de explotación.
Referencias: