Splunk Enterprise是一款大数据日志收集、检索、监控与分析平台,可采集服务器、网络设备、安全设备、业务系统产生的海量日志、指标与事件数据。
近日,监测到官方修复Splunk Enterprise 未授权文件操作漏洞(CVE-2026-20253),该漏洞源于PostgreSQL Sidecar Service端点缺少身份认证控制。攻击者可利用该漏洞,通过构造包含路径遍历序列的backupFile参数实现任意文件创建与截断,进一步通过PostgreSQL连接字符串注入控制pg_dump/pg_restore 的数据库连接目标,结合passfile参数读取本地.pgpass凭据文件,最终实现远程代码执行,完全控制目标服务器。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
10.2.0 <= Splunk Enterprise < 10.2.4
10.0.0 <= Splunk Enterprise < 10.0.7
三、修复建议
官方已发布安全补丁,请及时更新至安全版本。
Splunk Enterprise 10.0.* >= 10.0.7
Splunk Enterprise 10.2.* >= 10.2.4
Splunk Enterprise 10.4.* >= 10.4.0
