Imagine seu time de segurança confiando no Splunk Enterprise para detectar ameaças… enquanto o próprio Splunk está carregado de vulnerabilidades.
Pois é, ironias tecnológicas. A Splunk Inc. divulgou recentemente uma série de vulnerabilidades críticas que afetam tanto o Splunk Enterprise quanto a Splunk Cloud Platform.
E não estamos falando de pequenas falhas aqui, mas de portas escancaradas para execução de código, negação de serviço e até SSRF.
A casa caiu no Splunk Web
Foram identificadas seis vulnerabilidades distintas, com pontuações CVSS variando de 4.6 a 7.5. A maioria afeta diretamente o componente Splunk Web.
E como já virou quase um bingo de falhas conhecidas, temos XSS, Improper Access Control, XML External Entity, DoS e SSRF.
Duas das falhas mais fáceis de explorar são os XSS, que permitem a execução de JavaScript malicioso direto no navegador da vítima.
O atacante pode ser um usuário de baixo privilégio, o que torna tudo ainda mais preocupante. Basta uma URL maliciosa e um clique desavisado para o caos começar.
Destaques do hall da vergonha de 2025:
- CVE-2025-20367 (Reflected XSS) e CVE-2025-20368 (Stored XSS): pontuação 5.7. A primeira usa o endpoint
/app/search/table, a segunda abusa de mensagens de erro e detalhes de inspeção de jobs. - CVE-2025-20371: a mais crítica, com 7.5 no CVSS. Um ataque SSRF cego que não requer autenticação. O atacante pode abusar da REST API fingindo ser um usuário de alto privilégio desde que o cenário esteja “ideal” (leia-se: mal configurado).
- CVE-2025-20366: falha de controle de acesso. Usuários comuns podem descobrir Search IDs de jobs administrativos e acessar resultados sensíveis. CVSS de 6.5.
- CVE-2025-20369: uma injeção XXE que pode causar DoS usando campos de rótulo nos dashboards.
- CVE-2025-20370: alta conta de solicitações LDAP leva à negação de serviço, usando a capacidade
change_authentication.
Se você estiver usando qualquer versão do Splunk Enterprise anterior a 9.4.4, 9.3.6 ou 9.2.8 más notícias: você está vulnerável. O mesmo vale para versões específicas do Splunk Cloud Platform.
Agora, se você achou que migrar pro Splunk 10.0.0 resolveria, segura essa: ele é vulnerável às falhas LDAP DoS e SSRF. Só escapou das XSS e da falha de acesso.
E como se proteger?
O ideal é atualizar imediatamente para as versões corrigidas:
- Splunk Enterprise: 10.0.1, 9.4.4, 9.3.6 ou 9.2.8
- Splunk Cloud Platform: atualizações automáticas estão em andamento
Mas se você está naquele cenário “não posso atualizar agora”, há alguns ajustes técnicos elegantes:
- Desabilitar o Splunk Web resolve grande parte dos problemas, mas aí você perde acesso à interface visual. É como fechar a porta da frente e jogar fora a chave.
- Para o SSRF, altere o parâmetro
enableSplunkWebClientNetlocparafalsenoweb.conf. - Para a DoS via LDAP, retire a permissão
change_authenticationde qualquer role que não precise disso.
Vulnerabilidades no Splunk
Essas vulnerabilidades não são só falhas técnicas. São lembretes de que segurança é algo contínuo, não uma opção de menu. Empresas precisam revisar permissões de usuários, limitar privilégios e observar comportamentos anômalos nos jobs de busca.
Também é importante adotar segmentação de rede. Se um ataque SSRF acontecer, o estrago pode ser contido. E claro, nunca esqueça o básico, tudo que o usuário digita precisa ser checado e limpo antes de ser usado. É assim que você evita abrir brechas pro atacante brincar com sua aplicação.
