Splunkは、Splunk Enterprise、Cloud Platform、MCP Serverの脆弱性およびその製品全体のサードパーティパッケージの脆弱性の修正を発表しました。
Splunk EnterpriseおよびCloud Platformの高重度の欠陥(CVE-2026-20204として追跡)は、権限の低いユーザーによって、悪意のあるファイルを一時ディレクトリにアップロードしてリモートコード実行(RCE)を達成するために悪用される可能性があります。
Splunkによると、このバグは一時ファイルが不適切に処理されており、そのディレクトリ内で十分に分離されていないため存在するとのことです。
Splunk EnterpriseおよびCloud Platformで2つの中程度の重度の問題に対処しました。1つはヌルバイトまたは非UTF-8パーセントエンコードされたバイトを含むユーザー名を作成するために悪用される可能性があり、適切な形式への変換を防ぎます。一方、もう1つは攻撃者がData Model Accelerationをオン/オフにすることを許可します。
ユーザーは、これらすべてのセキュリティ欠陥の修正を含むSplunk Enterpriseバージョン10.2.2、10.0.5、9.4.10、9.3.11以上に更新する必要があります。Splunkはクラウドプラットフォームインスタンスにパッチを適用しています。
水曜日、同社はMCP Serverアプリの高重度の脆弱性であるCVE-2026-20205も解決しました。これは認証済みの攻撃者がユーザーのセッションと認可トークンをクリアテキストで表示することを許可する可能性があります。
「この脆弱性は、ログファイルへのローカルアクセスまたは内部インデックスへの管理者アクセスのいずれかを必要とします。これはデフォルトではadminロールのみが受け取ります」とSplunkは述べています。バグの修正はMCP Serverアプリバージョン1.0.3に含まれていました。
さらに、同社はSplunk Enterprise、Operator for Kubernetes Add-on、IT Service Intelligence(ITSI)アプリ、およびUniversal Forwarderのサードパーティパッケージのバグの修正をロールアウトしました。
Splunkはこれらの脆弱性のいずれかが実際に悪用されているという言及をしていません。追加情報は、同社のセキュリティアドバイザリページにあります。
翻訳元: https://www.securityweek.com/splunk-enterprise-update-patches-code-execution-vulnerability/
