
Splunk Enterprise 高危漏洞可无验证执行代码
Splunk 已发布安全更新修复 Splunk Enterprise 中的严重漏洞 CVE-2026-20253。该漏洞可被未认证用户利用进行文件操作,并在特定条件下实现远程代码执行。受影响版本为 10.0.0 至 10.0.6 和 10.2.0 至 10.2.3,用户应尽快升级;Splunk Cloud 不受影响。
Splunk 已发布安全更新,修复 Splunk Enterprise 中一个严重安全漏洞。该漏洞可能被利用来进行未经身份验证的文件操作,甚至实现远程代码执行。
该漏洞编号为 CVE-2026-20253,在 CVSS 评分系统中的评分为 9.8。
Splunk 本周在一则警报中表示:“在低于 10.2.4 和 10.0.7 的 Splunk Enterprise 版本中,未认证用户可通过 PostgreSQL sidecar service endpoint 创建或截断任意文件。”
“该漏洞存在的原因是 PostgreSQL sidecar service endpoint 缺少身份验证控制,允许任何网络可达用户在没有凭据的情况下调用文件操作。”
该问题已在以下版本中修复:
Splunk Enterprise 10.0.0 to 10.0.6 - 已在 10.0.7 中修复
Splunk Enterprise 10.2.0 to 10.2.3 - 已在 10.2.4 中修复
Splunk Enterprise 10.4 - 不受影响
Splunk 隶属于 Cisco。该公司表示,由于产品中不使用 Postgres sidecars,Splunk Cloud 不受该漏洞影响。
漏洞详情
周五,watchTowr Labs 发布了 CVE-2026-20253 的更多技术细节,称该漏洞可通过 “/v1/postgres/recovery/backup” 和 “/v1/postgres/recovery/restore” 端点,在受影响系统上被利用以实现预身份验证远程代码执行。
攻击链如下:
连接到攻击者控制的数据库,并通过 /backup 端点将其内容转储到任意文件中
通过 /restore 端点加载攻击者控制的数据库转储,同时包含一个 “passfile” 参数,用于指定一个 “.pgpass” 文件(“/opt/splunk/var/packages/data/postgres/.pgpass”)的路径,该文件包含 “postgres_admin” 用户的密码
数据库转储中定义的 SQL 查询将由 Splunk 的 PostgreSQL 实例执行
攻击者可以利用这一弱点定义一个新函数,使用 lo_export——一个用于从数据库提取 BLOB 并将其保存为文件系统中文件的函数——把攻击者控制的内容写入文件,随后该函数会在恢复过程中被执行。
研究人员 Piotr Bazydlo 和 Yordan Ganchev 表示:“在这一点上,我们可以进行认证、恢复攻击者控制的 SQL,并与本地数据库交互。”他们还说:“一旦我们能够将攻击者控制的 SQL 恢复到本地 PostgreSQL 实例中,我们很快就拼出一个数据库转储模板,从而获得了受控的文件写入。”
在获得对 Splunk 文件系统的任意文件写入能力后,攻击者可以进一步通过覆盖一个 Splunk 经常执行的 Python 脚本(例如 “/opt/splunk/etc/apps/splunk_secure_gateway/bin/ssg_enable_modular_input.py”)并植入恶意载荷,从而升级到远程代码执行。
完整动作序列如下:
创建一个数据库,并将其配置为用户可在无需密码的情况下进行身份验证,同时授予其足够的权限以调用诸如 lo_export 之类的函数
使用 /backup 端点将远程数据库的转储写入 Splunk 文件系统
使用 /restore 端点加载恶意数据库转储,在恢复过程中触发恶意函数执行,并将攻击者控制的 Python 脚本写入 Splunk 文件系统
尽管目前没有证据表明该漏洞已在野外被利用,但利用细节的公开可能足以驱动威胁行为者发起机会性攻击。用户应尽快应用修复以保持防护。
更新
在 2026 年 6 月 18 日对其公告的更新中,Splunk Product Security Incident Response Team (PSIRT) 表示其“已获悉该漏洞存在有限度利用”,并敦促客户升级到已修复的软件版本以缓解问题。
这一进展促使美国 Cybersecurity and Infrastructure Security Agency (CISA) 将该漏洞加入其 Known Exploited Vulnerabilities (KEV) 目录,并要求 Federal Civilian Executive Branch (FCEB) 机构在 2026 年 6 月 21 日前应用修复。