Plataforma
splunk
Componente
sa-ldapsearch
Corrigido em
3.1.1
O CVE-2025-0367 é uma vulnerabilidade de Denial of Service (DoS) encontrada no Splunk Supporting Add-on for Active Directory (SA-ldapsearch), versões 3.1.0 e anteriores. Um atacante pode explorar essa falha através de uma expressão regular vulnerável, levando a um ataque de Regular Expression Denial of Service (ReDoS). A vulnerabilidade afeta as versões 3.1.0 e 3.1.1 do add-on, e a correção está disponível na versão 3.1.1.
A exploração bem-sucedida do CVE-2025-0367 pode resultar em um ataque de ReDoS, sobrecarregando o processador do servidor Splunk e tornando o add-on indisponível. Isso pode interromper a coleta e análise de dados do Active Directory, impactando a capacidade de monitoramento e detecção de ameaças. Um atacante pode enviar consultas LDAP especialmente criadas para acionar a expressão regular vulnerável, causando um consumo excessivo de recursos e potencialmente afetando outros serviços no mesmo servidor. A severidade do impacto depende da criticidade do add-on para as operações de segurança da organização.
O CVE-2025-0367 foi publicado em 30 de janeiro de 2025. Atualmente, não há evidências de exploração ativa dessa vulnerabilidade, mas a natureza do ataque ReDoS a torna potencialmente explorável. Não está listado no KEV da CISA no momento da redação. A probabilidade de exploração é considerada baixa a média, dada a necessidade de conhecimento especializado para criar consultas LDAP maliciosas.
Organizations heavily reliant on Splunk for Active Directory monitoring are particularly at risk. Environments with complex Active Directory structures and frequent LDAP queries are more susceptible to DoS attacks. Security teams using the Splunk Supporting Add-on for Active Directory to automate security tasks or incident response are also at heightened risk, as a DoS condition could disrupt these critical functions.
• linux / server: Monitor system resource usage (CPU, memory) for unusual spikes, especially during LDAP query processing. Use top, htop, or similar tools to identify processes consuming excessive resources.
top• linux / server: Examine Splunk logs for errors related to LDAP queries or regular expression processing. Look for patterns indicative of excessive backtracking or resource exhaustion.
journalctl -u splunk | grep -i "regex" -i "ldap"• generic web: If the add-on exposes any web interfaces, monitor for unusual request patterns or error rates that might correlate with LDAP query processing.
disclosure
Status do Exploit
EPSS
0.19% (percentil 41%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2025-0367 é atualizar o Splunk Supporting Add-on for Active Directory para a versão 3.1.1 ou superior, que inclui a correção para a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias, como restringir o acesso ao add-on apenas a fontes confiáveis e monitorar o uso de recursos do servidor Splunk. Implementar regras de firewall para limitar o tráfego LDAP de fontes não autorizadas também pode ajudar a reduzir o risco. Após a atualização, confirme a correção verificando os logs do Splunk em busca de erros relacionados à expressão regular.
Atualize o Splunk Supporting Add-on for Active Directory para a versão 3.1.1 ou superior. Esta versão corrige a vulnerabilidade ReDoS na expressão regular. Você pode baixar a versão mais recente do site da Splunk ou através da interface de administração do Splunk.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-0367 is a medium-severity Denial of Service vulnerability in Splunk Supporting Add-on for Active Directory versions 3.1.0–3.1.1, caused by a vulnerable regular expression pattern.
If you are using Splunk Supporting Add-on for Active Directory version 3.1.0 or earlier, you are potentially affected by this vulnerability.
Upgrade to version 3.1.1 or later of the Splunk Supporting Add-on for Active Directory to resolve the vulnerability. Consider input validation as a temporary workaround.
There is currently no evidence of active exploitation campaigns targeting CVE-2025-0367, but the ReDoS nature makes it potentially attractive to attackers.
Refer to the official Splunk security advisory for detailed information and updates regarding CVE-2025-0367: [https://splunk.com/security/advisories](https://splunk.com/security/advisories)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.