目前,针对这一漏洞的威胁检测签名尚未发布,因此及时修补和严格执行权限控制措施至关重要。
漏洞概述
Splunk已发布紧急安全公告,警告用户其Enterprise与Cloud平台存在一个高危漏洞,编号为CVE-2026-20163,CVSS评分为8.0。该漏洞允许攻击者在目标系统上执行远程命令,危害极大。
漏洞成因
该漏洞源于系统在索引上传文件前的预览阶段,未能妥善处理用户输入。尽管攻击者需要具备高级管理员权限才能利用此漏洞,但一旦得手,恶意用户便能获得底层服务器的控制权。
该漏洞被归类为CWE-77,存在于Splunk的REST API组件中,具体涉及 /splunkd/__upload/indexing/preview 端点。攻击者必须拥有包含 edit_cmd 高级权限的用户角色,才能利用此漏洞发起攻击。
攻击原理
在满足条件后,攻击者可在文件上传预览过程中,操纵unarchive_cmd参数。由于系统未能正确清理此输入,攻击者能轻易注入并直接在服务器上执行任意Shell命令。
受影响版本
此漏洞由安全研究员Danylo Dmytriiev与Splunk内部团队联合发现并上报。受影响的企业版本包括:Enterprise 10.0.0–10.0.3、9.4.0–9.4.8、9.3.0–9.3.9。Cloud Platform 平台中,低于 10.2.2510.5、10.1.2507.16、10.0.2503.12 和 9.3.2411.124 的版本均受影响。
Splunk Enterprise 10.2基础版本不受影响。目前,Splunk正主动监控并向受影响的Cloud Platform实例直接部署补丁更新。
修复建议
Splunk强烈建议立即通过更新或临时缓解措施来解决此漏洞:
升级Splunk Enterprise:管理员应尽快将版本更新至 10.2.0、10.0.4、9.4.9、9.3.10 或更高版本。若无法立即升级,可从所有用户角色中完全移除 edit_cmd 高级权限,通过断绝攻击所需的命令执行权限来有效阻断攻击链。
目前该漏洞尚未出现特定的威胁检测签名,因此主动打补丁和实行严格权限管理至关重要。
