Splunkは、同社のAI Toolkitに存在する2件のセキュリティ脆弱性を公開しました。そのうちの1件は、深刻度「クリティカル」に分類されるOSコマンドインジェクションの脆弱性であり、管理者権限を持つ攻撃者がホストOS上で任意のコマンドを直接実行できる可能性があります。
両脆弱性はバージョン5.7.4未満のSplunk AI Toolkitに影響し、2026年6月17日に公開されました。
より深刻な脆弱性はCVE-2026-20266(アドバイザリID:SVD-2026-0614)として追跡されており、CVSSv3.1スコアは9.1(クリティカル)、ベクターはCVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:Hです。
CWE-78(OSコマンドに使用される特殊要素の不適切な無効化)に分類されるこの脆弱性は、Splunk AI Toolkitのbtoolコンフィギュレーションヘルパーに存在します。
Splunkのアドバイザリによると、btoolが動的パラメータからOSコマンド文字列を構築する際に、シェル解釈を無効化しないまま安全でないシェル実行パターンを使用していることが根本原因です。
Splunkの「admin」ロールを持つユーザーがこの脆弱性を悪用すると、Splunk Enterpriseが稼働しているホスト上で任意のオペレーティングシステムコマンドを実行できます。
スコープへの影響は「Changed(S:C)」と評価されており、悪用に成功した場合、脆弱なアプリケーション本体を超えたコンポーネントにも影響が及ぶことを示しています。これは、高影響度のサーバーサイドコマンドインジェクション脆弱性に特有の特徴です。
Splunkは現時点でこの脆弱性に対する検出手段が存在しないことを認めており、早急なパッチ適用の重要性が際立っています。すぐにアップグレードを適用できない場合の唯一の回避策は、Splunk AI Toolkitを完全にアンインストールすることです。
2件目の脆弱性はCVE-2026-20265(アドバイザリID:SVD-2026-0613)で、CVSSv3.1スコアは4.3(ミディアム)、ベクターはCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N、CWE-1188(リソースの安全でないデフォルト初期化)に分類されます。
この脆弱性は、Splunk AI Toolkitのデフォルトのドメイン許可リストが安全でない設定のままとなっており、AIエージェントからの外部ドメインへのアウトバウンドリクエストを適切に制限できていないことに起因します。
「admin」または「power」ロールを持たない低権限ユーザーが、このツールキットを操作して攻撃者が管理するサーバーへのアウトバウンドHTTPリクエストを発生させることで、データの外部送信(exfiltration)が可能となります。
デフォルトでドメイン検証が強制されていないため、最小限の権限でもこの脆弱性を悪用できます。すぐにアップグレードできない管理者は、local/mlspl.conf設定ファイルを編集することでリスクを軽減できます。
[ai:AllowedDomains]スタンザで、allowed_domains設定に承認済みドメインを明示的に定義し、enforce_domain_validationをtrueに設定してください。このフラグがfalseの場合、ツールキットはドメインリストを完全に無視します。
両脆弱性はSplunk AI Toolkitバージョン5.7、具体的には5.7.4未満のすべてのビルドに影響します。Splunkは両CVEの正式な修正版としてバージョン5.7.4をリリースしており、5.7系の旧バージョンを使用している組織は直ちにアップグレードすることが推奨されます。
翻訳元: https://cyberpress.org/critical-splunk-ai-toolkit-flaw/
