何が起きたか
Splunkは2026年6月10日にCVE-2026-20253を開示し、Splunk Enterprise 10.0.xおよび10.2.xブランチのバージョンに影響を与えています。Splunk 10で導入されたPostgreSQL sidecarサービスエンドポイントは、認証制御(CWE-306)が全く欠けており、ネットワークに到達可能な認証なしの攻撃者が任意のファイル作成または切り詰めを実行することができます。watchTowr Labsは、このファイル書き込みプリミティブがPostgreSQLのlo_export関数を悪用して悪意のあるスクリプトを書き込んで実行することで、完全なプレ認証リモートコード実行にチェーンできることを実証しました。公開されたPoCは6月12日までに利用可能でした。6月15日から積極的な悪用が観察され、CISAは2026年6月18日にこのCVEを既知の悪用された脆弱性カタログに追加し、連邦修復期限は6月21日です。修正はSplunk Enterprise 10.0.7および10.2.4で利用可能です。Splunk Enterprise 10.4およびSplunk Cloudは影響を受けません。
なぜ重要か
Splunk Enterpriseは、支配的なSIEMおよびログ分析プラットフォームであり、テレメトリ、モデル出力監視、セキュリティ可観測性のためのAI/ML操作パイプラインで広く使用されています。Splunkサーバーの侵害により、攻撃者はディフェンダーの検知インフラストラクチャに完全な可視性と制御を得ることができ、AIワークロードへのさらなる攻撃の前にブラインドスポットを作成することが可能になります。CISA KEVリスティングは、3日間の連邦パッチ期限を伴う、アクティブなワイルド悪用を確認しています。
攻撃経路
認証なしのネットワーク攻撃者は、PostgreSQL sidecarサービスエンドポイントにリクエストを送信し、認証の欠如を悪用して攻撃者制御ファイルを書き込みます。その後、ファイルはPostgreSQLのlo_export関数を介して実行され、リモートコード実行を達成します — 認証情報は不要です。
影響を受けるシステム
Splunk Enterprise 10.0.x (10.0.7で修正) および10.2.x (10.2.4で修正)、AWS上のSplunk Enterpriseはデフォルトでsidecarが有効になっています。
緩和策
直ちにSplunk Enterprise 10.0.7または10.2.4にアップグレードしてください。パッチ適用が直ちに不可能な場合は、PostgreSQL sidecarサービスポートへのネットワークアクセスを制限してください。Splunk Cloudの顧客は、ベンダー管理のパッチ適用により保護されています。勧告: https://advisory.splunk.com/advisories/SVD-2026-0603