漏洞概述

Splunk发布紧急安全公告，警告用户其Enterprise和Cloud平台存在一个高危漏洞（CVE-2026-20163），CVSS评分为8.0。该漏洞允许攻击者在目标系统上执行远程命令（RCE）。

漏洞成因

漏洞源于系统在索引上传文件前的预览阶段对用户输入处理不当。虽然攻击者需要具备高级权限才能利用此漏洞，但一旦成功利用，恶意用户将能控制底层主机服务器。

该漏洞被归类为CWE-77（命令中特殊元素的不当中和），存在于Splunk的REST API组件中，具体涉及/splunkd/__upload/indexing/preview端点。攻击者必须拥有包含edit_cmd高级权限的用户角色才能利用此漏洞。

攻击原理

满足条件后，攻击者可在文件上传预览过程中操纵unarchive_cmd参数。由于系统未能正确清理该输入，攻击者可轻易注入并直接在服务器上执行任意Shell命令。

受影响版本

该漏洞由安全研究员Danylo Dmytriiev（DDV_UA）与Splunk内部团队成员Gabriel Nitu和James Ervin共同发现并报告。受影响版本包括：

• Enterprise：10.0.0–10.0.3、9.4.0–9.4.8、9.3.0–9.3.9
• Cloud Platform：低于10.2.2510.5、10.1.2507.16、10.0.2503.12和9.3.2411.124的版本

Splunk Enterprise 10.2基础版本不受影响。Splunk正在主动监控并向受影响的Cloud Platform实例直接部署补丁。

修复建议

Splunk强烈建议立即通过更新或临时缓解措施解决此漏洞：

• 升级Splunk Enterprise：管理员应将安装更新至10.2.0、10.0.4、9.4.9、9.3.10或更高版本
• 实施临时措施：若无法立即升级，可从所有用户角色中完全移除edit_cmd高级权限，通过拒绝执行恶意命令所需的权限来阻断攻击链

目前该漏洞尚无特定的威胁检测签名，因此主动打补丁和严格的权限管理至关重要。

参考来源：

Splunk RCE Vulnerability Allows Attackers to Execute Arbitrary Shell Commands

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）