Splunk Enterprise 漏洞在披露数日后即遭攻击利用

一个关键的 Splunk Enterprise 漏洞在公开披露仅数日后便遭到攻击利用，各组织已被敦促立即打补丁。

该漏洞编号为 CVE-2026-20253，Splunk 的安全公告指出，未认证的攻击者可通过 PostgreSQL sidecar 服务端点利用该漏洞创建或截断任意文件。

Splunk 在公告中表示：“该漏洞的存在是由于 PostgreSQL sidecar 服务端点缺少身份验证控制，允许任何可访问网络的用户在无需凭证的情况下调用文件操作。”

该安全漏洞影响 Splunk Enterprise 10.2 版本（低于 10.2.4）和 10.0 版本（低于 10.0.7）。由 Cisco 旗下的 Splunk 于 6 月 10 日宣布提供补丁。

披露两天后，网络安全公司 WatchTowr 的研究人员演示了未认证攻击者如何利用 CVE-2026-20253 实现远程代码执行，并发布了技术细节和 PoC 代码。

Splunk 于 6 月 18 日确认该漏洞已被利用。

Splunk 表示：“2026 年 6 月，Splunk 产品安全事件响应团队（PSIRT）获悉该漏洞存在有限的利用情况。Splunk 强烈建议客户升级到已修复的软件版本以修复此漏洞。”

目前似乎没有关于涉及 CVE-2026-20253 攻击的公开可用信息，但许多企业可能面临风险。

CISA 于 6 月 18 日将 CVE-2026-20253 添加到其已知被利用漏洞（KEV）目录中，并指示联邦机构在 6 月 21 日前解决该问题。这是首个被添加到 CISA KEV 列表中的 Splunk 漏洞。