CVE-2025-20381CVE-2025-20381是Splunk MCP Server中的一个访问控制绕过漏洞。该漏洞影响0.2.4之前的所有版本。攻击者通过利用"run_splunk_query"工具,将SPL命令作为子搜索嵌入,从而绕过SPL命令允许列表的安全限制,执行超出MCP设计意图的未授权操作。CVSS评分5.4,属于中危漏洞。由于需要低权限用户身份,攻击复杂度较低,但无需用户交互即可实施攻击。攻击成功后可能导致数据泄露或完整性破坏,但影响范围有限。
Splunk MCP Server实现了SPL命令允许列表机制,限制用户只能执行预批准的搜索查询。漏洞在于允许列表检查不完善,未对子搜索中的SPL命令进行验证。攻击者可以使用`search`命令将恶意SPL语句包装在子搜索中,例如:| search [ | <restricted_command> ]。由于子搜索在允许列表验证之前执行,攻击者可以绕过限制执行任意SPL命令,包括数据导出、搜索修改等受限操作。这种绕过方式利用了Splunk搜索管道的解析顺序漏洞,在主查询的允许列表检查完成前就通过子搜索执行了目标命令。