CVE-2025-20383 Splunk Enterprise移动推送通知信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-20383

漏洞类型

信息泄露

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Splunk Enterprise, Splunk Secure Gateway app, Splunk Cloud Platform

漏洞概述

CVE-2025-20383是思科旗下Splunk公司产品中的一个信息泄露漏洞。该漏洞影响Splunk Enterprise多个版本以及Splunk Cloud Platform上的Splunk Secure Gateway应用。漏洞的根本原因在于移动推送通知功能的权限验证机制存在缺陷。在受影响的版本中，低权限用户（非admin或power角色）如果订阅了移动推送通知服务，系统会向其推送报告或告警的标题和描述信息，即使该用户实际上并没有访问这些报告或告警的权限。这意味着敏感的业务信息、告警详情可能被未授权的用户获取，造成信息泄露风险。攻击者只需要拥有基本的用户账户并启用推送通知订阅功能，无需特殊的权限或复杂的攻击步骤，即可利用此漏洞获取受限信息。该漏洞的CVSS评分为4.3，属于中等严重程度，主要影响信息的机密性。

技术细节

该漏洞属于访问控制不当导致的信息泄露问题。在Splunk Enterprise的移动推送通知功能实现中，系统在生成和发送推送通知时，未能正确验证接收者是否对通知内容所关联的报告或告警具有访问权限。具体来说，当某个报告或告警被触发时，系统会向所有订阅了推送通知的用户发送包含标题和描述的信息，但由于权限检查逻辑的缺陷，即使某些订阅用户没有相应的资源访问权限，他们仍然会收到这些通知内容。攻击者可以利用这一漏洞：1）首先拥有一个有效的低权限Splunk账户；2）订阅移动推送通知服务；3）等待系统推送其他用户创建的报告或告警通知；4）接收并查看通知中包含的敏感信息，如告警标题、描述等。由于推送通知的发送是系统自动行为，用户无需任何交互即可被动接收这些信息。

攻击链分析

STEP 1

步骤1

攻击者获取一个低权限的Splunk用户账户，该账户不具备admin或power角色

STEP 2

步骤2

攻击者在移动设备上配置Splunk应用并启用推送通知订阅功能

STEP 3

步骤3

系统中有其他用户（拥有更高权限）创建报告或配置告警

STEP 4

步骤4

当报告或告警被触发时，系统自动向攻击者发送推送通知，包含敏感信息

STEP 5

步骤5

攻击者查看推送通知，在未获得资源访问权限的情况下获取报告标题和描述

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-20383 PoC - Information Disclosure via Mobile Push Notifications
// This PoC demonstrates the vulnerability where low-privileged users can receive
// push notifications containing titles and descriptions of reports/alerts they don't have access to.

// Prerequisites:
// 1. Valid Splunk account with non-admin/non-power role
// 2. Mobile app with push notifications enabled

// Step 1: Authenticate to Splunk
// POST /services/auth/login
// username=<low_priv_user>&password=<password>

// Step 2: Subscribe to mobile push notifications
// POST /services/splunk_secure_gateway/notifications/subscriptions
// {
//   "channel_type": "mobile_push",
//   "name": "mobile_notification_subscription",
//   "enabled": true
// }

// Step 3: Wait for push notifications
// The low-privileged user will receive notifications containing:
// - Report/Alert titles
// - Report/Alert descriptions
// Even if they don't have permission to view these reports/alerts

// Note: This is a passive attack - no additional actions required after subscription
// The system automatically sends notifications without proper access control checks

影响范围

Splunk Enterprise < 9.2.10

Splunk Enterprise < 9.3.8

Splunk Enterprise < 9.4.6

Splunk Enterprise < 10.0.2

Splunk Secure Gateway app < 3.7.28

Splunk Secure Gateway app < 3.8.58

Splunk Secure Gateway app < 3.9.10

防御指南

临时缓解措施

如果无法立即升级，可考虑以下临时缓解措施：1）限制移动推送通知功能的使用，仅允许管理员配置订阅；2）审查现有推送通知订阅用户列表，确保没有未授权用户；3）在不影响业务的前提下，暂时禁用移动推送通知功能；4）加强对推送通知内容的监控和审计，及时发现异常的信息访问行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-20383
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-20383
3 Details https://www.cvedetails.com/cve/CVE-2025-20383/
4 VulDB https://vuldb.com/cve/CVE-2025-20383
5 Link https://advisory.splunk.com/advisories/SVD-2025-1202