Splunk は 高深刻度の脆弱性を公表しており、その Enterprise および Cloud Platform 環境の両方に影響を及ぼします。CVE-2026-20204 として追跡されているこの欠陥により、攻撃者はリモートから任意のコードを実行できます。
CVSS スコアが 7.1 であり、この脆弱性はシステム管理者とセキュリティの脅威ハンターからの直ちの注目が必要です。
脆弱性の詳細
セキュリティ上の欠陥は、Splunk Web 内の特定の一時ファイルの不適切な処理と不十分な分離に由来しています。2026 年 4 月 15 日にリリースされた勧告によると、この問題は正式に CWE-377 に分類されています。
問題の中核は SPLUNK_HOME/var/run/splunk/apptemp ディレクトリ パスにあります。特に Splunk 内で「admin」または「power」ロールを保有していない低権限ユーザーは、このテンポラリ フォルダに悪意のあるファイルをアップロードすることで、この弱点を悪用できます。正常に実行されれば、これはリモート コード実行(RCE)につながります。
攻撃には脅威アクターがシステムへの認証済みアクセスのある程度のレベルを持つ必要がありますが、標準の低レベル アカウントが RCE をトリガーできるという事実はそれを非常に危険にします。
この機能は、アカウントのわずかな侵害が完全なサーバーの乗っ取りにつながる可能性があることを意味します。Splunk セキュリティ研究者 Gabriel Nitu はこの欠陥の発見と報告で評価されています。
組織は、脆弱なインスタンスを実行しているかどうかを判断するため、直ちに環境を監査する必要があります。この欠陥は、異なるプロダクト ラインにわたってSplunk Web の複数のバージョンに影響を及ぼします。
Splunk Enterprise 環境は以下のバージョン パスで影響を受けます:
- バージョン 10.2:特に、バージョン 10.2.0 は脆弱です。
- バージョン 10.0:10.0.0 から 10.0.4 にわたるバージョン。
- バージョン 9.4:9.4.0 から 9.4.9 にわたるバージョン。
- バージョン 9.3:9.3.0 から 9.3.10 にわたるバージョン。
Splunk Cloud Platform 環境もこれらのビルドに露出しています:
- バージョン 10.3.2512:10.3.2512.5 以下のすべてのビルド。
- バージョン 10.2.2510:10.2.2510.9 以下のすべてのビルド。
- バージョン 10.1.2507:10.1.2507.19 以下のすべてのビルド。
- バージョン 10.0.2503:10.0.2503.13 以下のすべてのビルド。
- バージョン 9.3.2411:9.3.2411.127 以下のすべてのビルド。
Splunk Cloud Platform バージョン 10.4.2603 は完全に安全で、この脆弱性の影響を受けないことに注意してください。
リスク軽減とパッチ
重大なインフラストラクチャを保護するため、Splunk は管理者にソフトウェアを直ちに更新するよう促しています。Enterprise ユーザーはパッチされたバージョン 10.2.1、10.0.5、9.4.10、または 9.3.11 にアップグレードする必要があります。
Splunk Cloud Platform の顧客向けに、企業は積極的にシステムを監視し、影響を受けたインスタンスにパッチを展開しています。
直ちにアップグレードできない場合は、実行可能な回避策があります。脆弱性は Splunk Web がアクティブであることが必要であるため、管理者は Splunk Web コンポーネントを一時的にオフにすることができます。
このリスク軽減は、適切なパッチが適用されるまで、攻撃面を完全に削除します。セキュリティ チームは、 web.conf 構成ファイルを変更して不要な Web インターフェイス機能をオフにすることでこれを実現できます。
翻訳元: https://gbhackers.com/splunk-enterprise-and-cloud-platform-rce-vulnerability/
