Splunkは2026年5月20日に3つのセキュリティアドバイザリをリリースし、Splunk Enterprise、Splunk Cloud Platform、およびSplunk AI Toolkitアプリ全体の重大な脆弱性に対処しました。
最も破壊的なCVE-2026-20240の脆弱性はsplunk_archiverアプリのcoldToFrozen.shスクリプトに存在し、安全なディレクトリへの操作を制限することなく任意のファイルパスを受け入れています。
‘admin’または’power’ロールのない低権限ユーザーが、この入力検証の欠落(CWE-20)を悪用して重要なSplunkディレクトリの名前を変更し、インスタンスを完全に機能しなくすることができます。
攻撃ベクトルはネットワークアクセス可能で、ユーザーの相互作用を必要としないため、内部脅威または侵害された低権限アカウントの魅力的なターゲットになります。
影響を受けるバージョンはこのバッチ内の任意の欠陥の最も広い範囲にわたっています:
一時的な回避策として、Splunkはsplunk Archiverアプリをオフにすることを推奨しており、これにより自動的にコールドフローズンバケット遷移が停止します。脆弱性は外部研究者Alex Hordijk(hordalex)によって発見および報告されました。
Splunk Enterpriseの高深刻度の情報開示脆弱性(CVE-2026-20239、CWE-532)は、10.2.2および10.0.5以下のバージョン、および10.3.2512.8、10.2.2510.11、10.1.2507.21、10.0.2503.13以下の複数のSplunk Cloud Platformブランチに影響します。
_internalインデックスへのアクセス権を持つ認証されたユーザーは、これらのログを読み取り、ライブセッション認証情報を抽出できます。
これは、2026年2月および3月にパッチが適用された以前の_internalインデックス開示バグを含む、複数のアドバイザリサイクルでSplunkが遭遇したパターンを反映しています。
Splunkは、パッチデプロイメント待ちの間に_internalインデックスアクセスを管理者レベルのロールに即座に制限することを推奨しており、Splunk Cloud Platformインスタンスを積極的に監視およびパッチしています。SplunkのCharlie Huggardが欠陥を特定しました。
CVE-2026-20238のロジック欠陥では、Splunk AI Toolkitが継承された検索フィルターを処理する方法により、低権限ユーザーが表示を制限されるべきデータにアクセスできます。
アプリは、組み込みの’user’ロールを変更するsrchFilterエントリを含むauthorize.confファイルをシップします。Splunkが継承された検索フィルターをOR SPL演算子を使用して組み合わせるため、この注入されたフィルターは子ロールに適用されるより制限的なsrchFilter構成を静かにオーバーライドし、実質的にデータセグメンテーション制御を無効にします。
5.7.3以下のバージョンが影響を受けます。即座にパッチを適用できない管理者は、デフォルトのauthorize.confから問題のあるsrchFilterラインを削除するか、ローカル設定ファイルの空の値でオーバーライドすることができます。
両方の回避策により、ai_agent_run_history_indexがすべてのユーザーによって検索可能になり、srchIndexesAllowed設定を介した補足的なロールレベルのインデックスアクセス制限が必要になります。SplunkのMartin Müllerが欠陥を報告しました。
3つのCVEすべてが低レベルの認証アクセスのみを必要とし、ユーザーの相互作用がないことを考えると、幅広いユーザーベースを持つ内部Splunkデプロイメントを実行している組織は、パッチが適用されるまで高い風険に直面しています。推奨される直下の対応:
翻訳元: https://cyberpress.org/splunk-patches-multiple-flaws/