CVE-2026-20266：Splunk AI Toolkit命令注入，Atlassian修复多项第三方依赖漏洞

资讯专家

6月18日，Atlassian和Splunk分别发布安全更新，修复了多项高危漏洞，其中包括一个已在Splunk AI Toolkit中被利用的OS命令注入漏洞。

Splunk AI Toolkit的CVE-2026-20266（CVSS 9.1）允许拥有管理员角色的认证攻击者在Splunk Enterprise实例所在主机上执行任意系统命令。漏洞源于btool配置帮助工具中不安全的shell执行模式，该模式在构造OS命令字符串时未禁用shell解释。该漏洞已在Splunk AI Toolkit 5.7.4版本中修复。如果无法立即升级，Splunk建议临时卸载AI Toolkit。

此外，本次更新还修复了CVE-2026-20265（中等严重性），一个因不安全默认域名白名单导致的信息泄露漏洞。攻击者可通过管理员或power角色，利用该漏洞使AI Toolkit向受控服务器发起出站HTTP请求，造成数据外泄。

与此同时，Atlassian发布了100份安全公告，修复了旗下多个数据中心和服务器的第三方依赖漏洞。受影响产品包括：Bamboo、Bitbucket、Confluence、Crowd、Fisheye/Crucible、Jira、Jira Service Management。这些漏洞源自Axios、Apache Tomcat、Netty等组件的关键缺陷，相关CVE编号包括：CVE-2026-42043、CVE-2026-40175、CVE-2026-42264（Axios）；CVE-2026-41293、CVE-2026-43512、CVE-2026-41293、CVE-2026-43515、CVE-2026-43515（Apache Tomcat，原文重复）；CVE-2026-42584（Netty）。

建议使用上述产品的用户尽快升级至已修复版本，以降低被攻击风险。

热心网友3

这个通报真是及时，感谢分享。CVE-2026-20266 这个 9.1 分的命令注入漏洞确实值得高度警惕，尤其是已经在被利用。Splunk 建议临时卸载 AI Toolkit 也是个务实的临时方案，不过对实际使用 AI Toolkit 的团队来说可能有点尴尬。Atlassian 那边一口气修了这么多第三方依赖漏洞，涉及的产品线很广，看来用他们全家桶的运维团队这周有的忙了。大家还是尽量抓紧升级吧。