Plataforma
splunk
Componente
splunk-enterprise
Corregido en
10.0.1
9.4.6
9.3.8
9.2.10
10.1.2507.4
10.0.2503.6
9.3.2411.116
La vulnerabilidad CVE-2025-20388 es una falla de tipo SSRF (Server-Side Request Forgery) detectada en Splunk Enterprise y Splunk Cloud Platform. Esta falla permite a usuarios con permisos elevados, específicamente aquellos que poseen la capacidad change_authentication, enumerar direcciones IP internas y puertos de red. Afecta a versiones de Splunk Enterprise anteriores o iguales a 10.1.2507.4, así como a versiones de Splunk Cloud Platform anteriores a 10.1.2507.4, 10.0.2503.7 y 9.3.2411.116. La solución recomendada es actualizar a la versión corregida.
Un atacante que explote esta vulnerabilidad podría obtener información sensible sobre la infraestructura interna de la red donde se ejecuta Splunk. Al poder enumerar direcciones IP y puertos, el atacante podría identificar servicios expuestos internamente, mapear la topología de la red y, potencialmente, encontrar otros sistemas vulnerables para explotar. Aunque la severidad es baja según CVSS, el impacto puede ser significativo en entornos donde la segmentación de red no es robusta, permitiendo un posible movimiento lateral dentro de la red. La capacidad de enumerar puertos podría revelar servicios críticos que, de ser comprometidos, podrían llevar a una brecha de seguridad mayor.
Esta vulnerabilidad fue publicada el 3 de diciembre de 2025. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) ni se dispone de una puntuación EPSS. Actualmente no se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad SSRF la hace susceptible a ser explotada una vez que se disponga de un PoC. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.
Organizations utilizing Splunk Enterprise or Cloud Platform with distributed search architectures are at risk. Specifically, environments where users have been granted the change_authentication role without proper justification or oversight are particularly vulnerable. Shared hosting environments or those with legacy configurations where role assignments are not regularly reviewed should prioritize remediation.
• linux / server:
journalctl -u splunkd | grep -i "search peer" && journalctl -u splunkd | grep -i "internal ip"• generic web:
curl -I <splunk_search_head_url>/services/server/peer_status | grep -i "internal ip"disclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-20388 es actualizar Splunk Enterprise o Splunk Cloud Platform a una versión corregida. La versión fija es 10.1.2507.4 para Splunk Enterprise y 10.0.2503.7 y 9.3.2411.116 para Splunk Cloud Platform. Si la actualización inmediata no es posible, se recomienda restringir el acceso a la capacidad change_authentication a un mínimo de usuarios necesarios. Además, se pueden implementar reglas en un Web Application Firewall (WAF) o proxy para bloquear solicitudes salientes a direcciones IP internas. La monitorización de logs de Splunk en busca de patrones de solicitudes inusuales a direcciones IP internas también puede ayudar a detectar intentos de explotación.
Actualice Splunk Enterprise a la versión 10.0.1, 9.4.6, 9.3.8 o 9.2.10 o superior. Para Splunk Cloud Platform, actualice a la versión 10.1.2507.4, 10.0.2503.7 o 9.3.2411.116 o superior. Esto mitigará la vulnerabilidad SSRF ciega.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-20388 is a Server-Side Request Forgery vulnerability in Splunk Enterprise allowing attackers with change_authentication to enumerate internal IPs/ports. It has a LOW severity rating.
You are affected if you are running Splunk Enterprise versions ≤10.1.2507.4 or Splunk Cloud Platform versions below 10.1.2507.4, 10.0.2503.7, and 9.3.2411.116, and have users with the change_authentication role.
Upgrade Splunk Enterprise to version 10.1.2507.4 or the corresponding fixed versions for Cloud Platform. Restrict the change_authentication role to trusted users as an interim measure.
There are currently no reports of active exploitation of CVE-2025-20388, but the vulnerability is publicly known.
Refer to the official Splunk security advisory for CVE-2025-20388 on the Splunk website (link to be added when available).
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.