Splunk EnterpriseおよびSplunk Cloud Platformで、高重大度のリモートコマンド実行(RCE)脆弱性が発見され、システムが深刻なセキュリティリスクにさらされています。
CVE-2026-20163として公式に追跡されており、CVSSスコアは8.0で、この重大な欠陥により悪意のある攻撃者がホストオペレーティングシステム上で任意のシェルコマンドを実行することができます。
CWE-77に分類されるこのバグは、エンタープライズソフトウェアにおける不適切な入力の無効化の危険性を強調しています。
技術的な悪用の詳細
この脆弱性の核となるのは、プラットフォームのREST API内にあり、特に/splunkd/__upload/indexing/previewエンドポイント内です。
ユーザーがSplunkにファイルをアップロードすると、システムはこれらのファイルをデータベースにインデックスする前にプレビューします。このプレビューフェーズ中に、ソフトウェアはunarchive_cmdとして知られるパラメータを使用します。
Splunkがこのパラメータに供給される入力を適切にサニタイズできないため、攻撃者は隠されたシェルコマンドを挿入することができます。
システムがファイルプレビューを処理するとき、それは攻撃者の悪意のある命令を知らないうちに実行します。
ただし、即座の脅威レベルを低下させる重要な制限要因があります。この欠陥を正常に悪用するために、攻撃者は既に高特権のedit_cmd機能を備えたユーザーアカウントへのアクセスを持っている必要があります。
これは標準ユーザーがエクスプロイトをトリガーできないことを意味していますが、管理者のアカウントが侵害された場合、脅威行為者がアプリケーションアクセスから完全なサーバー乗っ取りへとピボットすることができるため、極大のリスクを提示しています。
この脆弱性は、オンプレミスおよびクラウドデプロイメントの両方の複数のバージョンにまたがります。システム管理者は、現在のビルドを以下の影響を受けたバージョンと照合する必要があります:
- Splunk Enterprise 10.0:バージョン10.0.0~10.0.3
- Splunk Enterprise 9.4:バージョン9.4.0~9.4.8
- Splunk Enterprise 9.3:バージョン9.3.0~9.3.9
- Splunk Cloud Platform:10.2.2510.5、10.0.2503.12、10.1.2507.16、および9.3.2411.24以下のバージョン
幸いなことに、ベースのSplunk Enterprise 10.2コンポーネントはこの特定のREST API欠陥の影響を受けていません。
重要な軽減策と修正
潜在的な任意のコマンド実行からエンタープライズネットワークを保護するために、管理者はパッチングを優先する必要があります。
Splunkは、影響を受けたすべてのブランチ全体の入力サニタイズエラーを修正する公式セキュリティアップデートをリリースしました。
- Splunk Enterprise 10.0環境をバージョン10.0.4にアップグレードしてください。
- Splunk Enterprise 9.4環境をバージョン9.4.9にアップグレードしてください。
- Splunk Enterprise 9.3環境をバージョン9.3.10にアップグレードしてください。
- Splunk Cloud Platformのお客様向けに、Splunkは状況を積極的に監視し、ホストされているインスタンスにパッチを直接適用しています。
翻訳元: https://gbhackers.com/splunk-rce-vulnerability-arbitrary-shell-commands/
