Splunk 发布了一份关键安全公告,披露了一个高危远程命令执行(RCE)漏洞,编号 CVE-2026-20163,CVSS 评分 8.0。该漏洞存在于 Splunk Enterprise 和 Splunk Cloud Platform 的 REST API 中,主要影响系统对文件预览的处理逻辑。
公告显示,拥有特定管理员权限的攻击者可以利用该漏洞突破安全隔离。官方说明中提到:拥有包含高权限能力 edit_cmd 角色的用户,可以通过 unarchive_cmd 参数执行任意系统命令。
技术分析表明,漏洞源于平台在数据建立索引前的处理环节存在缺陷。公告指出:在对上传文件建立索引前进行预览时,由于输入过滤不充分,导致该漏洞可被利用。
攻击者可以通过 /splunkd/_upload/indexing/preview 这个 REST 接口,让已授权但存在恶意行为的用户直接在底层服务器上执行命令。
该漏洞影响多个版本的 Splunk Enterprise 与 Splunk Cloud Platform:
- Splunk Enterprise:10.2.0、10.0.4、9.4.9、9.3.10 以下版本
- Splunk Cloud Platform:10.2.2510.5、9.3.2411.124 以下的相关版本
为加固环境安全,Splunk 建议管理员:
将 Splunk Enterprise 升级至 10.2.0、10.0.4、9.4.9、9.3.10 或更高版本。
对于无法立即完成升级的机构,可通过临时缓解措施缩小攻击面。
管理员可从对应用户角色中移除高权限 edit_cmd,直到补丁完全部署。
发表评论
您还未登录,请先登录。
登录