Splunk Enterpriseに存在する重大な脆弱性が、公開からわずか数日で実際の攻撃に悪用されています。各組織は早急なパッチ適用を強く求められています。
この脆弱性はCVE-2026-20253として追跡されており、Splunkのアドバイザリによると、認証されていない攻撃者がPostgreSQLサイドカーサービスのエンドポイントを悪用し、任意のファイルの作成または切り捨てを行える可能性があります。
「この脆弱性は、PostgreSQLサイドカーサービスのエンドポイントに認証制御が欠如していることに起因します。そのため、ネットワーク経由でアクセス可能なユーザーであれば、資格情報なしにファイル操作を実行できてしまいます」とSplunkはアドバイザリで説明しています。
この脆弱性は、Splunk Enterprise バージョン10.2(10.2.4未満)および10.0(10.0.7未満)に影響します。Ciscoが買収したSplunkは、6月10日にパッチの提供開始を発表しました。
公開から2日後、サイバーセキュリティ企業WatchTowrの研究者たちは、CVE-2026-20253が認証されていない攻撃者によるリモートコード実行に悪用可能であることを実証し、技術的な詳細とPoCコードを公開しました。
この脆弱性の悪用は、6月18日にSplunkによって確認されました。
「2026年6月、Splunk製品セキュリティインシデント対応チーム(PSIRT)は、この脆弱性が限定的に悪用されていることを確認しました」とSplunkは述べています。「Splunkは、この脆弱性を修正するため、修正済みソフトウェアリリースへのアップグレードを強くお勧めします。」
CVE-2026-20253に関連する攻撃の詳細は現時点では公開されていませんが、多くの企業がリスクにさらされている可能性があります。
CISAは6月18日にCVE-2026-20253を既知の悪用済み脆弱性(KEV)カタログに追加し、連邦機関に対して6月21日までに対処するよう指示しました。これは、CISAのKEVリストに追加された初めてのSplunkの脆弱性となります。
