CISAはCVE-2026-20253をKnown Exploited Vulnerabilitiesカタログに追加しました。これはSplunk Enterpriseに存在するリモートから悪用可能な深刻な脆弱性であり、米国連邦民間機関に対して2026年6月21日までに緩和措置を適用するよう命じています。
実際の攻撃での悪用はベンダーとResecurityによっても確認されており、同社は報告の中で、システムを完全に掌握される可能性があるとして、各組織にパッチの優先適用と以下のような侵害の痕跡(IoC)の有無を確認するよう呼びかけています。
- パストラバーサルシーケンス(../)を含むリクエスト
- hostaddr=、dbname=、port=、passfile=などのPostgreSQL接続パラメータ
- pg_dumpまたはpg_restoreの予期しない実行
- 通常とは異なるファイルシステムの場所へのデータベースダンプファイルの作成
- Splunkサービスから不明なPostgreSQLサーバーへの外部接続
脆弱性の詳細と悪用の可能性
Splunk Enterpriseは、組織のITシステム全体からログとデータを収集し、独自のクエリ言語(SPL)を用いて迅速に検索できるようインデックス化するプラットフォームです。ダッシュボードやアラート、インシデント調査に活用されており、一般的なIT監視やセキュリティ(SIEM)用途の中核基盤として広く利用されています。
「Splunk Enterprise 10.2の10.2.4未満のバージョン、および10の10.0.7未満のバージョンでは、認証されていないユーザーがPostgreSQLサイドカーサービスのエンドポイントを通じて任意のファイルを作成または切り捨てることができました」とSplunkはCVE-2026-20253に関するセキュリティアドバイザリで説明しています(2026年6月10日公開)。
PostgreSQLサイドカーサービスはデータベースのバックアップとリカバリ処理を担っており、この脆弱性はサービスエンドポイントに認証制御が存在しないことに起因しています。そのため、このサービスに到達できる攻撃者は、有効な認証情報を持たずともファイル操作を実行できてしまいます。
CVE-2026-20253を悪用すると、攻撃者は任意のコードを実行してSplunkアプリケーション環境を完全に制御できるようになります。これにより、セキュリティデータへのアクセス・改ざん・削除、保存された認証情報の漏洩、他の内部システムへの横断的な侵入など、広範な被害が生じる可能性があります。
「Splunkはセキュリティ監視と運用インテリジェンスの中核を担っているため、プラットフォームが侵害されると組織の可視性が大幅に低下し、追加の悪意ある活動が検出されないまま進行する恐れがあります」とResecurityの研究者たちは指摘しています。
パッチと緩和策
Splunkは6月10日にパッチをリリースし、修正済みバージョンである10.4.0、10.2.4、10.0.7以降へのアップグレードを顧客に強く求めています。
6月12日、watchTowrの研究者たちはこの脆弱性の技術的な詳細分析を公開しました。また、各組織が自社のSplunk Enterprise環境においてCVE-2026-20253の影響を受けるかどうかを確認するために利用できる「無害化された」エクスプロイトも併せて公開しています。
Nucleiの検出テンプレートも公開されています。
6月15日、ベンダーはPostgreSQLサイドカーサービスを無効化することでこの脆弱性を緩和できると確認しましたが、一部の機能に影響が生じる可能性があるとも注記しています。
翻訳元: https://www.helpnetsecurity.com/2026/06/19/splunk-vulnerability-cve-2026-20253-exploited/
