◈ Intelijen Keamanan AI ← Umpan harian
Kerentanan  ·  2026-06-19

Splunk Enterprise RCE PostgreSQL Sidecar Tanpa Autentikasi — CISA KEV Ditambahkan 18 Juni 2026 (CVE-2026-20253)

KerentananHigh dampakGlobalCVE-2026-20253
Apa yang terjadi
Splunk mengungkapkan CVE-2026-20253 pada 10 Juni 2026, memengaruhi versi Splunk Enterprise di cabang 10.0.x dan 10.2.x. Endpoint layanan sidecar PostgreSQL yang diperkenalkan di Splunk 10 sepenuhnya tidak memiliki kontrol autentikasi (CWE-306), memungkinkan penyerang tanpa autentikasi yang dapat menjangkau jaringan untuk memicu pembuatan atau pemotongan file arbitrer. watchTowr Labs mendemonstrasikan bahwa primitif penulisan file ini dapat dirantai menjadi eksekusi kode jarak jauh pra-autentikasi penuh dengan menyalahgunakan fungsi lo_export PostgreSQL untuk menulis dan menjalankan skrip berbahaya. PoC publik tersedia pada 12 Juni. Eksploitasi aktif diamati sejak 15 Juni, dan CISA menambahkan CVE ke katalog Known Exploited Vulnerabilities pada 18 Juni 2026, dengan tenggat waktu perbaikan federal 21 Juni. Perbaikan tersedia di Splunk Enterprise 10.0.7 dan 10.2.4; Splunk Enterprise 10.4 dan Splunk Cloud tidak terpengaruh.
Mengapa penting
Splunk Enterprise adalah platform SIEM dan log-analytics dominan, digunakan secara ekstensif dalam pipeline operasi AI/ML untuk telemetri, pemantauan keluaran model, dan observabilitas keamanan. Kompromi server Splunk memberikan penyerang visibilitas lengkap atas — dan kontrol atas — infrastruktur deteksi pembela, memungkinkan penciptaan bintik buta sebelum serangan lebih lanjut pada beban kerja AI. Pencatatan CISA KEV mengonfirmasi eksploitasi aktif di alam liar dengan tenggat waktu patch federal 3 hari.
Vektor serangan
Penyerang jaringan tanpa autentikasi mengirimkan permintaan ke endpoint layanan sidecar PostgreSQL, memanfaatkan autentikasi yang hilang untuk menulis file yang dikendalikan penyerang. File kemudian dijalankan melalui fungsi lo_export PostgreSQL untuk mencapai eksekusi kode jarak jauh — tidak ada kredensial yang diperlukan.
Sistem yang terdampak
Splunk Enterprise 10.0.x (diperbaiki di 10.0.7) dan 10.2.x (diperbaiki di 10.2.4); Splunk Enterprise di AWS memiliki sidecar diaktifkan secara default
Mitigasi
Tingkatkan ke Splunk Enterprise 10.0.7 atau 10.2.4 segera. Jika penerapan patch tidak segera memungkinkan, batasi akses jaringan ke port layanan sidecar PostgreSQL. Pelanggan Splunk Cloud dilindungi dengan penerapan patch yang dikelola vendor. Penasihat: https://advisory.splunk.com/advisories/SVD-2026-0603
Sumber
CISA KEV Catalog — CVE-2026-20253Splunk Advisory SVD-2026-0603NetSPI — CVE-2026-20253 Overview and Takeaways (June 15, 2026)Field Effect — Exploited Splunk vulnerability could allow RCE (June 17, 2026)NVD — CVE-2026-20253
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →