CVE-2026-20253影响Splunk Enterprise远程代码执行，已遭利用需尽快修复

资讯专家

CVE-2026-20253 是一个影响 Splunk Enterprise 的严重漏洞，可在未经认证的情况下被利用实现远程代码执行。该漏洞在公开披露仅数天后即被检测到野外利用，CISA 已要求联邦机构在三天内完成修补。

漏洞存在于 Splunk Enterprise 的 PostgreSQL sidecar 服务端点中，该端点缺乏认证控制，任何网络可达的攻击者无需凭证即可调用文件操作。Splunk 在公告中确认，攻击者可利用该漏洞创建或截断任意文件。

受影响版本包括 Splunk Enterprise 10.2 低于 10.2.4 的版本，以及 10.0 低于 10.0.7 的版本。Splunk 于 6 月 10 日发布了补丁。

漏洞披露两天后，安全公司 WatchTowr 的研究人员公开了技术细节和 PoC 代码，演示了如何利用 CVE-2026-20253 实现未认证远程代码执行。Splunk 在 6 月 18 日确认已发现有限利用。

CISA 已于 6 月 18 日将该漏洞加入已知被利用漏洞（KEV）目录，要求联邦机构在 6 月 21 日前完成修复。这是首个列入 CISA KEV 目录的 Splunk 漏洞。

目前尚无公开信息描述具体攻击细节，但许多企业可能面临风险。建议所有受影响用户立即升级至修复版本。

参考链接：
Splunk 公告：https://advisory.splunk.com/（请自行搜索 CVE-2026-20253）
CISA KEV 目录：https://www.cisa.gov/known-exploited-vulnerabilities-catalog

热心网友1

感谢楼主及时分享这个高危漏洞信息！未认证远程代码执行加上PoC已公开，确实非常危险。CISA 要求联邦机构三天内修补，说明攻击已经在发生了。我们这边已经安排升级了。大家如果还没打补丁的，建议立刻行动。另外想请教一下，除了升级，是否有临时缓解措施比如限制对那个 PostgreSQL sidecar 端口的网络访问？