무슨 일이 있었나
Splunk는 2026-06-17/18에 CVE-2026-20266 (CVSS 9.1 Critical)을 공개했습니다: Splunk AI Toolkit의 btool 구성 헬퍼는 shell=True 의미론으로 동적 매개변수로부터 OS 명령 문자열을 구성하여 Splunk 관리자가 기본 호스트에서 임의의 OS 명령을 실행할 수 있게 합니다. 동반 취약점 CVE-2026-20265 (CVSS 4.3)는 저권한 사용자가 안전하지 않은 기본 도메인 허용목록을 통해 AI 에이전트 상호작용으로부터 아웃바운드 HTTP 요청을 트리거하여 데이터 유출을 가능하게 합니다. 둘 다 5.7.4에서 수정되었습니다.
왜 중요한가
Splunk AI Toolkit은 LLM 기반 기능을 Splunk Enterprise에 직접 통합합니다 — 수천 개 엔터프라이즈에서 보안 분석 및 ML 워크로드에 사용되는 플랫폼입니다. AI 계층의 OS 명령 주입은 Splunk 관리자 계정을 손상시킨 공격자에게 전체 호스트 OS 접근을 부여하여 지속성, 횡적 이동 및 Splunk가 처리하는 모든 보안 원격 측정의 유출을 가능하게 합니다.
공격 경로
인증된 Splunk 관리자 사용자가 btool 구성 헬퍼 컴포넌트로 입력을 보냅니다. 이 컴포넌트는 셸 해석을 비활성화하지 않고 사용자 제공 매개변수로부터 동적으로 OS 명령 문자열을 구성합니다. 공격자는 셸 메타문자를 주입하여 Splunk Enterprise를 실행하는 호스트에서 임의의 OS 명령을 실행합니다.
영향받는 시스템
Splunk AI Toolkit < 5.7.4
완화 방안
Splunk AI Toolkit을 버전 5.7.4 이상으로 업그레이드하세요. Splunk 권고사항 SVD-2026-0614: https://advisory.splunk.com/advisories/SVD-2026-0614