CVE-2026-20266:Splunk AI Toolkit命令注入,Atlassian修复多项第三方依赖漏洞
6月18日,Atlassian和Splunk分别发布安全更新,修复了多项高危漏洞,其中包括一个已在Splunk AI Toolkit中被利用的OS命令注入漏洞。Splunk AI Toolkit的CVE-2026-20266(CVSS 9.1)允许拥有管理员角色的认证攻击者在Splunk Enterprise实例所在主机上执行任意系统命令。漏洞源于btool配置帮助工具中不安全的shell执行模式,该模式在构造OS命令字符串时未禁用shell解释。该漏洞已在Splunk AI Toolkit 5.7.4版本中修复。如果无法立即升级,Splunk建议临时卸载AI Toolkit。
此外,本次更新还修复了CVE-2026-20265(中等严重性),一个因不安全默认域名白名单导致的信息泄露漏洞。攻击者可通过管理员或power角色,利用该漏洞使AI Toolkit向受控服务器发起出站HTTP请求,造成数据外泄。
与此同时,Atlassian发布了100份安全公告,修复了旗下多个数据中心和服务器的第三方依赖漏洞。受影响产品包括:Bamboo、Bitbucket、Confluence、Crowd、Fisheye/Crucible、Jira、Jira Service Management。这些漏洞源自Axios、Apache Tomcat、Netty等组件的关键缺陷,相关CVE编号包括:CVE-2026-42043、CVE-2026-40175、CVE-2026-42264(Axios);CVE-2026-41293、CVE-2026-43512、CVE-2026-41293、CVE-2026-43515、CVE-2026-43515(Apache Tomcat,原文重复);CVE-2026-42584(Netty)。
建议使用上述产品的用户尽快升级至已修复版本,以降低被攻击风险。
Re: CVE-2026-20266:Splunk AI Toolkit命令注入,Atlassian修复多项第三方依赖漏洞
这个通报真是及时,感谢分享。CVE-2026-20266 这个 9.1 分的命令注入漏洞确实值得高度警惕,尤其是已经在被利用。Splunk 建议临时卸载 AI Toolkit 也是个务实的临时方案,不过对实际使用 AI Toolkit 的团队来说可能有点尴尬。Atlassian 那边一口气修了这么多第三方依赖漏洞,涉及的产品线很广,看来用他们全家桶的运维团队这周有的忙了。大家还是尽量抓紧升级吧。Re: CVE-2026-20266:Splunk AI Toolkit命令注入,Atlassian修复多项第三方依赖漏洞
感谢分享这个重要的安全更新!Splunk AI Toolkit那个命令注入漏洞评分9.1确实很危险,而且已经被利用,使用Splunk的小伙伴真得抓紧升级或者临时卸载。Atlassian那边一口气修了上百个第三方依赖的漏洞,覆盖了这么多产品线,涉及的组件也挺核心的,建议用他们家产品的兄弟都去检查一下版本,该升级就升级,别给攻击者留机会。Re: CVE-2026-20266:Splunk AI Toolkit命令注入,Atlassian修复多项第三方依赖漏洞
感谢楼主分享这么重要的安全资讯。这两个产品的漏洞评分都不低,尤其Splunk AI Toolkit那个命令注入漏洞已经是9.1分,还被标记为已利用,确实需要引起重视。Atlassian一下子修了100份公告,涉及的产品线也很广,用这些工具的朋友真得抓紧升级了。再次感谢提醒!
页:
[1]