Splunk Enterprise 近日曝光多个高危漏洞,安全管理员需要立即采取行动。这些漏洞可能导致内部网络遭到毁灭性打击,包括未授权文件篡改、严重的跨站脚本(XSS)攻击,甚至深度系统入侵。
最严重的未授权文件操作漏洞
其中危害最大的是 CVE-2026-20253,CVSS 评分高达 9.8。该漏洞允许攻击者在 PostgreSQL 辅助服务端点上,在无需任何身份验证的情况下,执行任意文件的创建和截断操作。官方公告明确强调,该脆弱的端点“缺乏身份验证控制,任何可访问网络的用户都能在无凭证下调用文件操作”。这意味着未经认证的攻击者可以轻易利用此缺陷破坏底层数据库,或在主机系统中植入恶意文件。
远程代码执行与反序列化漏洞
另一个高危漏洞是 CVE-2026-20251(CVSS 8.8),严重威胁平台完整性。该漏洞能让低权限用户通过 Splunk Secure Gateway 应用实现远程代码执行(RCE)。安全报告指出,此 RCE 漏洞源于“通过 Python 库 jsonpickle 对应用键值存储(KV Store)数据进行不安全的反序列化”。令人担忧的是,该库在缺乏充分验证的情况下,能够从特制的 JSON 输入中重建任意 Python 对象。
XSS 与 SSRF 攻击向量
此外还披露了两个值得关注的漏洞:
- CVE-2026-20258(CVSS 7.1)在经典仪表板界面引入了存储型 XSS 攻击向量,攻击者可在“经典仪表板 HTML 面板中存储恶意脚本,导致受害浏览器执行未授权 JavaScript 代码”;
- CVE-2026-20252(CVSS 7.6)则通过 Dashboard Studio 的 PDF 导出功能实施服务端请求伪造(SSRF)攻击,使攻击者得以针对内部目标发起攻击。
修复建议与缓解措施
为降低风险,企业需立刻行动。强烈建议管理员将 Splunk Enterprise 升级至 10.4.0、10.2.4、10.0.7、9.4.12 或 9.3.13 版本。对于无法立即打补丁的环境,可临时关闭 Splunk Web 或禁用 Splunk Secure Gateway 应用作为缓解措施。
参考来源:Splunk Enterprise Vulnerabilities: Patch CVSS 9.8 Flaws
更多安全技术探讨,欢迎访问云栈社区。 | 
发表于 5 小时前
|
查看: 3|
回复: 0
