Splunk Enterprise bị khai thác lỗ hổng XSS – Mã độc JavaScript có thể được thực thi trái phép

Tổng quan

Một lỗ hổng bảo mật nghiêm trọng trong nền tảng Splunk Enterprise có thể cho phép kẻ tấn công có quyền hạn thấp thực thi mã JavaScript trái phép thông qua lỗ hổng XSS phản chiếu (reflected XSS).

Lỗ hổng này, được theo dõi với mã định danh CVE-2025-20297, ảnh hưởng đến nhiều phiên bản của Splunk Enterprise và Splunk Cloud Platform, buộc công ty phải phát hành các bản cập nhật bảo mật khẩn cấp.

Lỗi XSS phản chiếu nằm trong thành phần tạo PDF từ bảng điều khiển (dashboard) của Splunk Enterprise, cụ thể là ở endpoint REST có đường dẫn pdfgen/render.

Chi tiết

Lỗi đã được phát hiện bởi Klevis Luli thuộc nhóm bảo mật của Splunk. Lỗ hổng bảo mật này cho phép kẻ tấn công với quyền truy cập hệ thống tối thiểu tạo ra các payload độc hại nhằm thực thi mã JavaScript tùy ý trên trình duyệt của nạn nhân.

Lỗi này được phân loại theo chuẩn CWE-79 (Cross-Site Scripting) và được chấm điểm CVSS 3.1 là 4.3, tương ứng với mức độ rủi ro trung bình.

Điều đáng lo ngại là vector tấn công này chỉ yêu cầu quyền truy cập người dùng ở mức thấp, không bao gồm các vai trò “admin” hoặc “power” trong Splunk.

Điều đó có nghĩa là ngay cả người dùng thông thường với quyền hạn hạn chế cũng có thể khai thác lỗ hổng để chiếm quyền phiên làm việc của người dùng khác.

Chuỗi vector CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N cho thấy cuộc tấn công có thể được thực hiện từ xa, với độ phức tạp thấp, yêu cầu ít đặc quyền và không cần tương tác từ phía nạn nhân.

---

Lỗ hổng này ảnh hưởng đến nhiều dòng sản phẩm Splunk trên nhiều nhánh phiên bản khác nhau.

Đối với Splunk Enterprise, các phiên bản bị ảnh hưởng bao gồm tất cả các bản phát hành dưới 9.4.2, 9.3.4, và 9.2.6. Cụ thể, thành phần Splunk Web trong các phiên bản Enterprise 9.4.1, 9.3.0 đến 9.3.3, và 9.2.0 đến 9.2.5 chứa lỗ hổng này.

Đáng chú ý, các phiên bản Splunk Enterprise 9.1 không bị ảnh hưởng bởi lỗ hổng bảo mật này. Tuy nhiên, người dùng Splunk Cloud Platform cũng chịu tác động, với các phiên bản dễ bị tổn thương bao gồm những phiên bản dưới 9.3.2411.102, 9.3.2408.111 và 9.2.2406.118.

Lỗ hổng này chỉ ảnh hưởng đến các trường hợp có bật Splunk Web, vì đây là thành phần xử lý chức năng tạo tệp PDF – nơi tồn tại lỗi XSS.

Khuyến nghị

Splunk khuyến cáo mạnh mẽ người dùng nên nâng cấp ngay lập tức lên các phiên bản đã được vá để khắc phục lỗ hổng bảo mật này. Đối với người dùng Splunk Enterprise, các phiên bản khắc phục được khuyến nghị bao gồm 9.4.2, 9.3.4, 9.2.6 hoặc cao hơn. Hiện phía Splunk đang tích cực giám sát và tự động vá lỗi cho các phiên bản Splunk Cloud Platform bị ảnh hưởng nhằm đảm bảo an toàn cho khách hàng.

Trong thời gian chờ cập nhật, các tổ chức có thể áp dụng biện pháp tạm thời bằng cách vô hiệu hóa hoàn toàn chức năng Splunk Web – điều này sẽ loại bỏ hoàn toàn vector tấn công, do lỗ hổng chỉ tồn tại trong chức năng tạo PDF của giao diện web. Biện pháp này có thể được thực hiện thông qua tập tin cấu hình web.conf, tuy nhiên sẽ ảnh hưởng đáng kể đến trải nghiệm người dùng và khả năng hiển thị bảng điều khiển (dashboard).

Các đội ngũ bảo mật cần ưu tiên triển khai bản vá, vì lỗ hổng có thể dẫn đến việc chiếm quyền phiên làm việc và thực thi mã trái phép. Dù yêu cầu tài khoản đã xác thực, nhưng vì chỉ cần quyền truy cập mức thấp, lỗ hổng này có thể bị khai thác bởi nhiều đối tượng khác nhau.

Bên cạnh đó, các tổ chức nên xem xét lại phân quyền người dùng và cân nhắc thiết lập giám sát bổ sung với endpoint pdfgen/render cho đến khi việc cập nhật được triển khai hoàn toàn trên toàn bộ hệ thống Splunk.

Tham khảo

Splunk Enterprise XSS Vulnerability Let Attackers Execute Unauthorized JavaScript Code

SVD-2025-0601 | Splunk Vulnerability Disclosure

CVE-2023-32711: Splunk Enterprise XSS Vulnerability Overview