事件经过
Splunk于2026年6月10日披露CVE-2026-20253,影响Splunk Enterprise 10.0.x和10.2.x分支中的版本。Splunk 10中引入的PostgreSQL sidecar服务端点完全缺乏身份验证控制(CWE-306),允许任何网络可达的未认证攻击者调用任意文件创建或截断。watchTowr实验室演示了这个文件写入原语可以通过滥用PostgreSQL的lo_export函数来链接到完全的pre-auth远程代码执行来写入和执行恶意脚本。公共PoC在6月12日前可用。从6月15日起观察到主动利用,CISA于2026年6月18日将CVE添加到其已知被利用漏洞目录,联邦修复期限为6月21日。修复可在Splunk Enterprise 10.0.7和10.2.4中获得;Splunk Enterprise 10.4和Splunk Cloud不受影响。
影响分析
Splunk Enterprise是主导的SIEM和日志分析平台,在AI/ML操作管道中广泛用于遥测、模型输出监控和安全可观测性。Splunk服务器的妥协使攻击者能够完全了解——并控制——防御方的检测基础设施,从而在对AI工作负载的进一步攻击之前创建盲点。CISA KEV列表确认了现实中的活跃利用,联邦补丁期限仅为3天。
攻击途径
未认证的网络攻击者向PostgreSQL sidecar服务端点发送请求,利用缺失的身份验证来写入攻击者控制的文件。然后通过PostgreSQL的lo_export函数执行文件以实现远程代码执行——不需要凭证。
受影响系统
Splunk Enterprise 10.0.x(在10.0.7中修复)和10.2.x(在10.2.4中修复);AWS上的Splunk Enterprise默认启用sidecar
缓解措施
立即升级到Splunk Enterprise 10.0.7或10.2.4。如果无法立即修补,请限制对PostgreSQL sidecar服务端口的网络访问。Splunk Cloud客户由供应商管理的补丁保护。公告:https://advisory.splunk.com/advisories/SVD-2026-0603