Apa yang terjadi
Splunk mengungkap CVE-2026-20266 (CVSS 9.1 Critical) pada 2026-06-17/18: btool Configuration Helper di Splunk AI Toolkit membuat string perintah OS dari parameter dinamis dengan semantik shell=True, memungkinkan admin Splunk menjalankan perintah OS sewenang-wenang di host yang mendasarinya. Kerentanan pendamping CVE-2026-20265 (CVSS 4.3) memungkinkan pengguna hak istimewa rendah memicu permintaan HTTP keluar dari interaksi agen AI melalui daftar domain yang diizinkan default tidak aman, memungkinkan eksfiltrasi data. Keduanya diperbaiki dalam 5.7.4.
Mengapa penting
Splunk AI Toolkit mengintegrasikan fitur bertenaga LLM langsung ke Splunk Enterprise — platform yang digunakan untuk analitik keamanan dan beban kerja ML di seluruh ribuan perusahaan. Injeksi perintah OS di lapisan AI memberikan penyerang yang telah mengompromi akun admin Splunk akses OS host penuh, memungkinkan persistensi, pergerakan lateral, dan eksfiltrasi semua telemetri keamanan yang diproses oleh Splunk.
Vektor serangan
Pengguna admin Splunk terautentikasi mengirimkan input ke komponen btool Configuration Helper, yang membuat string perintah OS secara dinamis dari parameter yang disediakan pengguna tanpa menonaktifkan interpretasi shell. Penyerang menyuntikkan metakarakter shell untuk menjalankan perintah OS sewenang-wenang di host yang menjalankan Splunk Enterprise.
Sistem yang terdampak
Splunk AI Toolkit < 5.7.4
Mitigasi
Upgrade Splunk AI Toolkit ke versi 5.7.4 atau lebih baru. Penasihat Splunk SVD-2026-0614: https://advisory.splunk.com/advisories/SVD-2026-0614