共计 756 个字符,预计需要花费 2 分钟才能阅读完成。
</p/>
Splunk 发布了一份 关键安全公告 ,披露了一个高危 远程命令执行(RCE)漏洞 ,编号 CVE-2026-20163,CVSS 评分 8.0。该漏洞存在于 Splunk Enterprise 和 Splunk Cloud Platform 的 REST API 中,主要影响系统对 文件预览 的处理逻辑。
公告显示,拥有特定管理员权限的攻击者可以利用该漏洞 突破安全隔离 。官方说明中提到: 拥有包含高权限能力 edit_cmd 角色的用户,可以通过 unarchive_cmd 参数执行任意系统命令。
技术分析表明,漏洞源于平台在数据建立索引前的处理环节存在缺陷。公告指出: 在对上传文件建立索引前进行预览时,由于输入过滤不充分,导致该漏洞可被利用。
攻击者可以通过 /splunkd/_upload/indexing/preview 这个 REST 接口,让已授权但存在恶意行为的用户直接在底层服务器上执行命令。
该漏洞影响多个版本的 Splunk Enterprise 与 Splunk Cloud Platform:
- Splunk Enterprise:10.2.0、10.0.4、9.4.9、9.3.10 以下版本
- Splunk Cloud Platform:10.2.2510.5、9.3.2411.124 以下的相关版本
为加固环境安全,Splunk 建议管理员:
将 Splunk Enterprise 升级至 10.2.0、10.0.4、9.4.9、9.3.10 或更高版本。
对于无法立即完成升级的机构,可通过临时缓解措施缩小攻击面。
管理员可 从对应用户角色中移除高权限 edit_cmd,直到补丁完全部署。
关于点小安 :点滴安全网站小编,专注 AI 安全攻防技术分享。
来源 :安全客
声明 :本文基于公开信息整理,观点仅供参考,不构成安全建议。
关注点滴安全(dripsafe.cn),获取更多 AI 安全资讯!
