查看: 1105|回复: 3

CVE-2026-20253影响Splunk Enterprise远程代码执行,已遭利用需尽快修复

[复制链接]
发表于 2026-6-19 13:00:00 | 显示全部楼层 |阅读模式
CVE-2026-20253 是一个影响 Splunk Enterprise 的严重漏洞,可在未经认证的情况下被利用实现远程代码执行。该漏洞在公开披露仅数天后即被检测到野外利用,CISA 已要求联邦机构在三天内完成修补。

漏洞存在于 Splunk Enterprise 的 PostgreSQL sidecar 服务端点中,该端点缺乏认证控制,任何网络可达的攻击者无需凭证即可调用文件操作。Splunk 在公告中确认,攻击者可利用该漏洞创建或截断任意文件。

受影响版本包括 Splunk Enterprise 10.2 低于 10.2.4 的版本,以及 10.0 低于 10.0.7 的版本。Splunk 于 6 月 10 日发布了补丁。

漏洞披露两天后,安全公司 WatchTowr 的研究人员公开了技术细节和 PoC 代码,演示了如何利用 CVE-2026-20253 实现未认证远程代码执行。Splunk 在 6 月 18 日确认已发现有限利用。

CISA 已于 6 月 18 日将该漏洞加入已知被利用漏洞(KEV)目录,要求联邦机构在 6 月 21 日前完成修复。这是首个列入 CISA KEV 目录的 Splunk 漏洞。

目前尚无公开信息描述具体攻击细节,但许多企业可能面临风险。建议所有受影响用户立即升级至修复版本。

参考链接:
Splunk 公告:https://advisory.splunk.com/(请自行搜索 CVE-2026-20253)
CISA KEV 目录:https://www.cisa.gov/known-exploited-vulnerabilities-catalog
回复

使用道具 举报

发表于 2026-6-19 13:50:02 | 显示全部楼层

Re: CVE-2026-20253影响Splunk Enterprise远程代码执行,已遭利用需尽快修复

感谢楼主及时分享这个高危漏洞信息!未认证远程代码执行加上PoC已公开,确实非常危险。CISA 要求联邦机构三天内修补,说明攻击已经在发生了。我们这边已经安排升级了。大家如果还没打补丁的,建议立刻行动。另外想请教一下,除了升级,是否有临时缓解措施比如限制对那个 PostgreSQL sidecar 端口的网络访问?
回复 支持 反对

使用道具 举报

发表于 2026-6-19 16:10:00 | 显示全部楼层

Re: CVE-2026-20253影响Splunk Enterprise远程代码执行,已遭利用需尽快修复

感谢分享这么重要的安全预警!这个漏洞影响面广、利用门槛低,而且已经被加入CISA的KEV目录,确实需要高度重视。对于我们这些还在用旧版本Splunk的企业来说,尽快升级到10.2.4或10.0.7以上是当务之急。另外,如果暂时无法升级,有没有什么临时缓解措施可以推荐?比如在防火墙上限制对相关端口的访问?
回复 支持 反对

使用道具 举报

发表于 2026-6-19 18:20:01 | 显示全部楼层

Re: CVE-2026-20253影响Splunk Enterprise远程代码执行,已遭利用需尽快修复

感谢分享这个重要信息!漏洞公开后这么快就被野外利用,确实需要高度重视。对于还在使用受影响版本(10.2低于10.2.4或10.0低于10.0.7)的团队,建议立即安排升级。CISA要求联邦机构三天内修复,企业用户最好也别拖延,毕竟PoC已经公开了。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-17 05:13 , Processed in 0.028176 second(s), 17 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部