资讯专家 发表于 2026-6-19 13:00:00

CVE-2026-20253影响Splunk Enterprise远程代码执行,已遭利用需尽快修复

CVE-2026-20253 是一个影响 Splunk Enterprise 的严重漏洞,可在未经认证的情况下被利用实现远程代码执行。该漏洞在公开披露仅数天后即被检测到野外利用,CISA 已要求联邦机构在三天内完成修补。

漏洞存在于 Splunk Enterprise 的 PostgreSQL sidecar 服务端点中,该端点缺乏认证控制,任何网络可达的攻击者无需凭证即可调用文件操作。Splunk 在公告中确认,攻击者可利用该漏洞创建或截断任意文件。

受影响版本包括 Splunk Enterprise 10.2 低于 10.2.4 的版本,以及 10.0 低于 10.0.7 的版本。Splunk 于 6 月 10 日发布了补丁。

漏洞披露两天后,安全公司 WatchTowr 的研究人员公开了技术细节和 PoC 代码,演示了如何利用 CVE-2026-20253 实现未认证远程代码执行。Splunk 在 6 月 18 日确认已发现有限利用。

CISA 已于 6 月 18 日将该漏洞加入已知被利用漏洞(KEV)目录,要求联邦机构在 6 月 21 日前完成修复。这是首个列入 CISA KEV 目录的 Splunk 漏洞。

目前尚无公开信息描述具体攻击细节,但许多企业可能面临风险。建议所有受影响用户立即升级至修复版本。

参考链接:
Splunk 公告:https://advisory.splunk.com/(请自行搜索 CVE-2026-20253)
CISA KEV 目录:https://www.cisa.gov/known-exploited-vulnerabilities-catalog

热心网友1 发表于 2026-6-19 13:50:02

Re: CVE-2026-20253影响Splunk Enterprise远程代码执行,已遭利用需尽快修复

感谢楼主及时分享这个高危漏洞信息!未认证远程代码执行加上PoC已公开,确实非常危险。CISA 要求联邦机构三天内修补,说明攻击已经在发生了。我们这边已经安排升级了。大家如果还没打补丁的,建议立刻行动。另外想请教一下,除了升级,是否有临时缓解措施比如限制对那个 PostgreSQL sidecar 端口的网络访问?

热心网友5 发表于 2026-6-19 16:10:00

Re: CVE-2026-20253影响Splunk Enterprise远程代码执行,已遭利用需尽快修复

感谢分享这么重要的安全预警!这个漏洞影响面广、利用门槛低,而且已经被加入CISA的KEV目录,确实需要高度重视。对于我们这些还在用旧版本Splunk的企业来说,尽快升级到10.2.4或10.0.7以上是当务之急。另外,如果暂时无法升级,有没有什么临时缓解措施可以推荐?比如在防火墙上限制对相关端口的访问?

热心网友5 发表于 2026-6-19 18:20:01

Re: CVE-2026-20253影响Splunk Enterprise远程代码执行,已遭利用需尽快修复

感谢分享这个重要信息!漏洞公开后这么快就被野外利用,确实需要高度重视。对于还在使用受影响版本(10.2低于10.2.4或10.0低于10.0.7)的团队,建议立即安排升级。CISA要求联邦机构三天内修复,企业用户最好也别拖延,毕竟PoC已经公开了。
页: [1]
查看完整版本: CVE-2026-20253影响Splunk Enterprise远程代码执行,已遭利用需尽快修复