Splunk 远程代码执行漏洞允许攻击者执行任意 Shell 命令

HackerNews 编译，转载请注明出处：

一份重要安全公告已发布，警告用户存在一个高严重性漏洞，同时影响 Enterprise 和 Cloud 平台。

该漏洞编号为 CVE-2026-20163，CVSS 评分为 8.0。它允许攻击者在目标系统上执行远程命令执行（RCE）。

该漏洞源于系统在对上传文件建立索引前进行预览时，对用户输入处理不当。

虽然该漏洞要求攻击者拥有高级别权限，但成功利用后可使恶意用户控制底层主机服务器。

Splunk 远程代码执行漏洞核心问题归类为 CWE-77，即对命令中使用的特殊元素未正确进行中性化处理。

该漏洞存在于 Splunk 的 REST API 组件中，具体针对 /splunkd/__upload/indexing/preview 端点。

攻击者要利用该漏洞，必须已拥有包含高权限 edit_cmd 功能的用户角色。

如果满足此条件，攻击者可在文件上传预览过程中操纵 unarchive_cmd 参数。

由于系统未正确清理该输入内容，攻击者可轻松在服务器上直接注入并执行任意 Shell 命令。

该漏洞已由安全研究员 Danylo Dmytriiev（DDV_UA）以及 Splunk 内部团队成员 Gabriel Nitu 和 James Ervin 负责任地披露。

该漏洞影响 Splunk 软件的多个近期版本。管理员应对照以下受影响版本检查自己的部署环境。

受影响版本包括 Enterprise 10.0.0–10.0.3、9.4.0–9.4.8、9.3.0–9.3.9，以及 Cloud Platform 低于 10.2.2510.5、10.1.2507.16、10.0.2503.12 和 9.3.2411.124 的版本。

基础版 Splunk Enterprise 10.2 不受该漏洞影响。此外，Splunk 正在主动监控并直接向受影响的 Cloud Platform 实例部署补丁。

为保护基础设施免受潜在利用，Splunk 强烈建议立即通过更新或临时缓解措施修复该漏洞。

升级 Splunk Enterprise：管理员应将安装版本升级至已修复版本 10.2.0、10.0.4、9.4.9、9.3.10 或更高版本。实施缓解措施：如果无法立即升级，可通过从所有用户角色中完全移除高权限 edit_cmd 功能来降低风险。这会通过拒绝执行恶意命令所需的权限来阻断攻击链。

目前尚无针对该漏洞的专用威胁检测特征库，因此主动打补丁和严格权限管理至关重要。

消息来源：cybersecuritynews.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文