Vulnerabilidades de RCE y Fuga de Datos amenazan las Plataformas Splunk

Se han identificado nuevas vulnerabilidades en Splunk Enterprise, Splunk Cloud Platform y Splunk Secure Gateway, una de las plataformas más utilizadas para análisis de datos, monitoreo y observabilidad. Las fallas afectan tanto a search heads como a indexers y permiten desde el acceso no autorizado a datos sensibles hasta la ejecución remota de código (RCE).

Estas vulnerabilidades, si son explotadas, podrían poner en riesgo entornos críticos de seguridad, operaciones de TI y monitoreo en organizaciones que dependen de Splunk para sus operaciones de ciberseguridad y cumplimiento normativo.

• CVE-2025-20229 (CVSS: 8.0): Esta vulnerabilidad afecta a Splunk Enterprise y Splunk Cloud Platform, permitiendo que un usuario con bajos privilegios ejecute código arbitrario de forma remota mediante la carga de archivos maliciosos en el directorio «$SPLUNK_HOME/var/run/splunk/apptemp» debido a la ausencia de controles de autorización adecuados.

• CVE-2025-20231 (CVSS:7.1): Esta vulnerabilidad afecta a la aplicación Splunk Secure Gateway y puede provocar la exposición de tokens de sesión y autorización de usuarios. Estos tokens se almacenan en texto plano en el archivo «splunk_secure_gateway.log» al realizar llamadas al endpoint «/services/ssg/secrets». La explotación requiere que el atacante engañe a la víctima para que inicie una solicitud en su navegador.

CVE	PRODUCTOS AFECTADOS	SOLUCIÓN
CVE-2025-20229	Splunk Enterprise versiones 9.1.0 a 9.1.7, 9.2.0 a 9.2.4, 9.3.0 a 9.3.2.	Actualizar Splunk Enterprise a las versiones 9.1.8, 9.2.5, 9.3.3 o 9.4.0.
	Splunk Cloud Platform versiones anteriores a 9.3.2408.104, 9.2.2406.108 y 9.1.2312.208	Splunk Cloud Platform está siendo monitoreado y parcheado activamente por Splunk.
CVE-2025-20231	Splunk Enterprise versiones anteriores a 9.4.1, 9.3.3, 9.2.5 y 9.1.8;	Actualizar Splunk Enterprise a las versiones 9.4.1, 9.3.3, 9.2.5 o 9.1.8
	Splunk Secure Gateway versiones anteriores a 3.8.38 y 3.7.23	Actualizar Splunk Secure Gateway a las versiones 3.8.38 o 3.7.23.

Recomendaciones:

• Aplicar las actualizaciones de seguridad publicadas por Splunk para mitigar los riesgos de explotación.​

• Deshabilitar la aplicación Splunk Secure Gateway si no se utiliza, como medida de mitigación temporal.​

• Restringir el acceso a usuarios no autorizados y aplicar principios de privilegio mínimo en el sistema.​

• Monitorear activamente los sistemas en busca de comportamientos anómalos que puedan indicar intentos de explotación.

Referencias:

• https://securityonline.info/splunk-alert-rce-and-data-leak-vulnerabilities-threaten-platforms/

• https://advisory.splunk.com/advisories/SVD-2025-0301

• https://www.cve.org/CVERecord?id=CVE-2025-20229

• https://www.cve.org/CVERecord?id=CVE-2025-20231

• https://www.tenable.com/cve/CVE-2025-20229