Splunkは、低権限ユーザーが機密データにアクセスしたり、サービス拒否(DoS)の条件を通じてSplunk Enterpriseのデプロイメントを中断させたりすることを可能にする、新たに開示された3つの脆弱性を修正するためのセキュリティアップデートをリリースしました。
これらのパッチはSplunk Enterpriseの問題に対応しており、Splunk Cloud PlatformおよびSplunk AI Toolkitアプリにも対応しています。
これらの脆弱性には、不正なアクセス制御、ログ内の機密データ露出、およびインスタンスを破壊するために悪用される可能性のあるファイルパスの危険な処理が含まれます。
3つの勧告は次の通りです:
- SVD-2026-0502 / CVE-2026-20238 – Splunk AI Toolkitのアクセス制御の不備(中程度)。
- SVD-2026-0503 / CVE-2026-20239 – Splunk EnterpriseおよびSplunk Cloud Platformのログファイルを通じた機密情報の開示(高)。
- SVD-2026-0504 / CVE-2026-20240 – Splunk EnterpriseおよびSplunk Cloud PlatformのcoldToFrozen.shによるサービス拒否(高)。
バージョン5.7.3未満のSplunk AI Toolkitには、authorize.confファイルの構成ミスがあり、検索フィルターの役割ベースのアクセス制御が弱くなります。
このアプリはsrchFilterエントリを使用して組み込みの「user」ロールを変更し、Splunkのロール継承ロジック(ORで結合されたフィルター)と組み合わせると、カスタム子ロール上のより制限的な検索フィルターをオーバーライドできます。
その結果、「admin」または「power」ロールを持たない低権限ユーザーは、ai_agent_run_history_indexインデックス内の機密AI関連コンテンツを含む、srchFilterベースの制限で非表示にすべきデータをクエリできます。
Splunkはこの問題をCVSS 6.5(中程度)と評価し、影響は機密性に焦点を当てています(CWE-863:不正な認可)。
推奨される対応:
- Splunk AI Toolkitをバージョン5.7.3以降にアップグレードしてください。
- 一時的な対応策として、パッチが適用されるまでSplunk AI Toolkit 5.7.2以前を無効にしてください。
- アプリを有効にしておく必要がある場合は、デフォルトのauthorize.confからsrchFilterラインを削除するか、ローカルファイルで空のsrchFilterでオーバーライドしてください。その後、Splunkを再起動し、AI固有のロール上のsrchIndexesAllowedを通じてai_agent_run_history_indexを明示的に制限してください。
CVE-2026-20239 – Splunk内部ログ内の機密データ
CVE-2026-20239は10.2.2および10.0.5未満のSplunk Enterpriseバージョンに影響を与え、また修正されたメンテナンスリリース未満の特定のSplunk Cloud Platformビルドにも影響を与えます。
脆弱なバージョンでは、_internalインデックスへのアクセス権を持つ任意のユーザーロールが、機密情報を含む可能性のあるセッションクッキーおよびHTTPレスポンスボディを表示できます。
この問題は、TcpChannelコンポーネントの出力バッファサニタイゼーションの欠落に由来し、ソケットエラーによるデータ破棄時にWARNレベルで完全なI/Oバッファコンテンツをログに記録します。
この動作により、認証関連データとアプリケーションレスポンスが_internalログにリークされ、機密性と潜在的な整合性/可用性の懸念が生じ、7.5の高いCVSSスコアに反映されます。
Splunkのガイダンス:
- Splunk Enterpriseを10.2.2、10.0.5、またはそれ以降にアップグレードしてください。Splunkはまた、Splunk Cloud Platformの顧客への修正をロールアウトしています。
- ロール定義を直ちに確認および強化し、_internalインデックスへのアクセスが管理者レベルのロールのみに制限されるようにしてください。
CVE-2026-20240 – Splunk ArchiverのcoldToFrozen.shによるDoS
3番目の脆弱性であるCVE-2026-20240は、Splunk EnterpriseおよびSplunk Cloud Platformのsplunk_archiverコンポーネントに影響を与え、可用性への影響に対して7.1(高)の評価を受けています。
影響を受けるビルドでは、管理者またはパワーロールを持たない低権限ユーザーがcoldToFrozen.Aスクリプトを悪用して重要なSplunkディレクトリの名前を変更し、インスタンスを機能しなくすることができます。
根本原因はcoldToFrozen.shの入力検証の欠落であり、任意のファイルパスを受け入れ、コールドツーフローズンバケット移行に使用される安全なディレクトリに限定せずに名前変更操作を実行します。
これにより、悪意のある、または侵害された低権限アカウントがコアSplunkパスをターゲットにしてサービス拒否攻撃をトリガーできます。
- デプロイメントブランチに応じてSplunk Enterpriseを10.2.2、10.0.5、9.4.11、または9.3.12にアップグレードし、Splunk Cloud Platformの対応するメンテナンスリリースを適用してください(例:10.4.2603.1、10.3.2512.9、10.2.2510.11)。
- 緩和策として、Splunkはsplunk Archiverアプリをオフにすることを推奨しています。使用していない場合、運用上の影響はなく、有効な重大度は情報となります。
Splunkを実行している組織は、これらの問題を優先事項として扱う必要があります。特にマルチテナント環境や多くのユーザーが低権限ロールを保持している場合です。
直ちに取るべき手順には、修正されたバージョンへのアップグレード、パッチが遅延している脆弱なアプリ(AI Toolkit、Splunk Archiver)を一時的にオフにすること、および_internalインデックスとAI固有のインデックスへのアクセスを強化することが含まれます。
翻訳元: https://gbhackers.com/splunk-patches-multiple-vulnerabilities-enabling-dos-attacks/
