Plateforme
splunk
Composant
sa-ldapsearch
Corrigé dans
3.1.1
La vulnérabilité CVE-2025-0367 concerne un problème de type ReDoS (Regular Expression Denial of Service) présent dans Splunk Supporting Add-on for Active Directory (SA-ldapsearch). Cette vulnérabilité permet à un attaquant de provoquer un déni de service en exploitant une expression régulière mal configurée. Elle affecte les versions 3.1.0 et antérieures de l'add-on et a été corrigée dans la version 3.1.1.
Un attaquant peut exploiter cette vulnérabilité pour submerger le système Splunk avec des requêtes, entraînant un déni de service. Cela peut rendre le système indisponible pour les utilisateurs légitimes, perturbant les opérations de surveillance et d'analyse. L'impact est particulièrement critique dans les environnements où Splunk est utilisé pour la détection et la réponse aux incidents de sécurité, car une indisponibilité du système peut empêcher la détection et la réponse aux menaces. Bien qu'il n'y ait pas d'exfiltration de données directe, l'interruption du service peut avoir des conséquences significatives sur la sécurité et la disponibilité de l'infrastructure.
La vulnérabilité CVE-2025-0367 a été publiée le 30 janvier 2025. Il n'y a pas d'indications d'une exploitation active à ce jour. Aucun PoC public n'a été identifié. La sévérité est classée comme moyenne, ce qui suggère une probabilité d'exploitation modérée, mais cela dépendra de la disponibilité d'outils et de techniques d'exploitation.
Organizations heavily reliant on Splunk for Active Directory monitoring are particularly at risk. Environments with complex Active Directory structures and frequent LDAP queries are more susceptible to DoS attacks. Security teams using the Splunk Supporting Add-on for Active Directory to automate security tasks or incident response are also at heightened risk, as a DoS condition could disrupt these critical functions.
• linux / server: Monitor system resource usage (CPU, memory) for unusual spikes, especially during LDAP query processing. Use top, htop, or similar tools to identify processes consuming excessive resources.
top• linux / server: Examine Splunk logs for errors related to LDAP queries or regular expression processing. Look for patterns indicative of excessive backtracking or resource exhaustion.
journalctl -u splunk | grep -i "regex" -i "ldap"• generic web: If the add-on exposes any web interfaces, monitor for unusual request patterns or error rates that might correlate with LDAP query processing.
disclosure
Statut de l'Exploit
EPSS
0.19% (percentile 41%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Splunk Supporting Add-on for Active Directory vers la version 3.1.1 ou supérieure, qui corrige la vulnérabilité ReDoS. Si la mise à jour n'est pas immédiatement possible, il est recommandé d'examiner la configuration de l'add-on pour identifier et désactiver les expressions régulières potentiellement vulnérables. Bien qu'il n'existe pas de règles WAF spécifiques pour cette vulnérabilité, une surveillance accrue du trafic réseau vers Splunk peut aider à détecter les tentatives d'exploitation. Après la mise à jour, vérifiez le bon fonctionnement de l'add-on en effectuant des tests de performance et en surveillant les journaux d'erreurs.
Actualice el Splunk Supporting Add-on for Active Directory a la versión 3.1.1 o superior. Esta versión corrige la vulnerabilidad ReDoS en la expresión regular. Puede descargar la versión más reciente desde el sitio web de Splunk o a través de la interfaz de administración de Splunk.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-0367 is a medium-severity Denial of Service vulnerability in Splunk Supporting Add-on for Active Directory versions 3.1.0–3.1.1, caused by a vulnerable regular expression pattern.
If you are using Splunk Supporting Add-on for Active Directory version 3.1.0 or earlier, you are potentially affected by this vulnerability.
Upgrade to version 3.1.1 or later of the Splunk Supporting Add-on for Active Directory to resolve the vulnerability. Consider input validation as a temporary workaround.
There is currently no evidence of active exploitation campaigns targeting CVE-2025-0367, but the ReDoS nature makes it potentially attractive to attackers.
Refer to the official Splunk security advisory for detailed information and updates regarding CVE-2025-0367: [https://splunk.com/security/advisories](https://splunk.com/security/advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.