Splunk EnterpriseおよびSplunk Cloud Platformで高リスクのリモートコマンド実行(RCE)脆弱性が発見され、企業環境がシステム侵害のリスクにさらされています。
CVE-2026-20163として追跡されており、CVSSスコア8.0が割り当てられているこの脆弱性は、特定の権限条件が満たされた場合、攻撃者がホストオペレーティングシステム上で任意のシェルコマンドを実行することを可能にします。
セキュリティ研究者は、このフローをCWE-77に分類される不正な入力の無効化問題として特定しました。
このカテゴリの脆弱性は、ソフトウェアがユーザーが提供した入力をシステムコマンドに渡す前に適切にサニタイズできない場合に発生し、攻撃者が悪意のある指示を挿入できる可能性があります。
悪用された場合、このフローにより脅威を与える者が影響を受けたSplunkサーバー上で不正なコマンドを実行でき、システム全体の乗っ取りにつながる可能性があります。
脆弱性はSplunkのREST API、特に以下のエンドポイントから発生します:
このエンドポイントは、ユーザーがSplunkプラットフォームにファイルをアップロードするときに使用されます。アップロードされたファイルがインデックス化および保存される前に、Splunkはその内容を分析するためのプレビューを生成します。
このプロセス中に、アプリケーションはアーカイブされたファイルを処理するためにunarchive_cmdと呼ばれるパラメータに依存しています。
研究者は、Splunkがこのパラメータを通じて渡された入力を適切にサニタイズしないことを発見しました。
攻撃者はパラメータ値に悪意のあるシェルコマンドを注入でき、その後ファイルプレビュー段階中に基盤となるオペレーティングシステムによって実行されます。
実際には、プラットフォームが特殊に細工されたファイルアップロード要求を処理する場合、システムは無意識に攻撃者が制御するコマンドを実行する可能性があります。
その深刻性にもかかわらず、脆弱性には重要な制限が含まれています。CVE-2026-20163を悪用するには、攻撃者はすでにedit_cmd機能を持つユーザーアカウントを所持している必要があります。
この権限は通常、高レベルの管理ユーザーに割り当てられます。この要件は外部攻撃者による悪用の可能性を低減しますが、管理者の認証情報が侵害された場合のリスクを大幅に増加させます。
ベースのSplunk Enterprise 10.2リリースはこの脆弱性の影響を受けません。
管理者は悪用のリスクを軽減するために、すぐにパッチ適用されたバージョンにアップグレードすることを強くお勧めします。
Splunk Cloud Platformの顧客については、同社は環境を積極的に監視し、ホストされたインスタンスにパッチを自動的にデプロイしています。
セキュリティチームは、Splunk導入内のユーザー権限も確認し、edit_cmd機能を信頼できる管理者のみに制限する必要があります。
特権アクセスを制限し、強力な認証制御を実施することは、認証情報が侵害された場合の悪用の可能性を低減するのに役立ちます。
翻訳元: https://cyberpress.org/splunk-rce-vulnerability/