吳明宜Splunk Enterprise 一項重大漏洞在業者發布安全公告後僅三天,即出現實際攻擊案例。美國網路安全暨基礎架構管理局 (CISA) 已緊急要求聯邦機構在 6 月 21 日前完成修補。
編號 CVE-2026-20253 的漏洞源於 Splunk Enterprise 的 PostgreSQL sidecar 服務端點缺乏驗證控制,任何可連線的攻擊者無須驗證即可透過該服務建立或清空任意檔案,CVSS 風險評分達 9.8 。
CVE-2026-20253 影響 Splunk Enterprise 與 Splunk Cloud Platform 部分版本,包括 10.2.4 之前的 10.2 系列,以及 10.0.7 之前的 10.0 系列。 Splunk 已於 6 月 10 日發布更新,修補包含 CVE-2026-20253 在內的四項漏洞。
不過,資安研究機構 WatchTowr 研究人員隨後展示,未經驗證的攻擊者可利用 CVE-2026-20253 達成遠端程式碼執行 (Remote Code Execution, RCE),並公開技術細節與概念驗證 (PoC) 程式碼。
Splunk 於 6 月 18 日證實,已有攻擊者開始利用該漏洞。公司建議客戶盡速升級至最新版本。不過,針對實際攻擊活動的細節,廠商與研究人員尚未公布更多資訊。
CISA 已於 6 月 18 日將 CVE-2026-20253 納入已知受濫用漏洞 (Known Exploited Vulnerabilities, KEV) 名冊,並要求聯邦機關在 6 月 21 日前完成修補。這也是第一個被列入 KEV 名冊的 Splunk 漏洞。
Splunk 同步修補另外三項漏洞
除了 CVE-2026-20253 外,Splunk 此次還修補另外三項高風險漏洞。
- CVE-2026-20251:Splunk Secure Gateway App 存在不安全反序列化(Deserialization)漏洞。低權限使用者可透過 Splunk Secure Gateway App 在 Splunk 伺服器上執行任意程式碼,CVSS 風險評分為 8.8 。
- CVE-2026-20252:Splunk Enterprise 存在伺服器端請求偽造 (Server-Side Request Forgery, SSRF) 漏洞。低權限使用者可利用 Dashboard Studio PDF 匯出功能繞過安全檢查,向任意內部主機發送請求,進而存取內部系統或資源,CVSS 風險評分為 7.6 。
- CVE-2026-20258:Splunk Enterprise 與 Splunk Cloud Dashboard 存在儲存型跨站指令碼(Stored Cross-Site Scripting, XSS)漏洞。低權限使用者可在 Dashboard 植入惡意 JavaScript 並分享連結,當受害者開啟頁面時,惡意程式碼將於瀏覽器中執行。 CVSS 風險評分為 7.1 。
- 根據 SecurityWeek 報導,CVE-2026-20253 在公開後數日即遭實際利用,CISA 已要求聯邦機構加速完成修補。
來源:SecurityWeek