CVE-2025-20298

Vulnérabilité de Splunk Universal Forwarder : Accès non autorisé aux répertoires

Une faille de sécurité a été identifiée dans les versions de Splunk Universal Forwarder pour Windows antérieures aux versions 9.4.2, 9.3.4, 9.2.6 et 9.1.9. Ce problème découle d’une mauvaise attribution des permissions lors de l’installation ou d’une mise à niveau, permettant à des utilisateurs sans privilèges d’administrateur d’accéder au répertoire d’installation du Universal Forwarder.

Points Clés :

• Nature de la vulnérabilité : Mauvaise attribution des permissions dans le répertoire d’installation.
• Impact : Permet à des utilisateurs non-administrateurs d’accéder au répertoire et à son contenu.
• Conséquences potentielles : Modification non autorisée de fichiers exécutables ou de configurations, remplacement de binaires de service menant à une exécution de code arbitraire avec des privilèges élevés, et exposition ou falsification de données de journal sensibles.

Vulnérabilité :

• CVE : CVE-2025-20298
• Description : Une nouvelle installation ou une mise à niveau vers une version affectée peut entraîner une mauvaise attribution des permissions dans le répertoire d’installation du Universal Forwarder pour Windows (par défaut, C:\Program Files\SplunkUniversalForwarder), permettant aux utilisateurs non-administrateurs d’accéder à ce répertoire et à tout son contenu.
• Scores CVSS 3.1 :
  • Base score : 8
  • Impact score : 5.9
  • Exploitability score : 2.1
  • Vector string : CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Recommandations :

Il est recommandé de mettre à jour Splunk Universal Forwarder pour Windows vers une version corrigée afin de résoudre ce problème de permissions. Les versions affectées sont celles antérieures à 9.4.2, 9.3.4, 9.2.6 et 9.1.9.

Source