概要

セキュリティ企業GBHackersは、Splunk EnterpriseとSplunk Cloud Platformで高深刻度のリモートコマンド実行（RCE）脆弱性が発見されたと報じています。この脆弱性はCVE-2026-20163としてトラッキングされており、CVSSスコアは8.0です。この脆弱性は、攻撃者がホストOS上で任意のシェルコマンドを直接実行できる可能性を示しています。

技術的な詳細

この脆弱性の中心は、プラットフォームのREST API、特に/splunkd/__upload/indexing/previewエンドポイントにあります。ユーザーがファイルをアップロードすると、システムはそのファイルをデータベースにインデックスする前にプレビューします。このプレビュー段階で、ソフトウェアはunarchive_cmdというパラメータを使用します。Splunkがこのパラメータに適切に入力を適切に検査しない場合、攻撃者は隠れたシェルコマンドを挿入することができます。システムがファイルのプレビューを処理する際に、攻撃者の悪意のある指示を無意識に実行します。

制限事項

この脆弱性を成功裏に悪用するためには、攻撃者は既に高権限のedit_cmd機能を持つユーザーのアカウントにアクセスしている必要があります。これは、通常のユーザーがこの脆弱性をトリガーすることはできないことを意味しますが、管理者のアカウントが侵害された場合、脅威アクターがアプリケーションアクセスから完全なサーバーの制御に移行する可能性があります。

影響を受けるバージョン

• Splunk Enterprise 10.0: バージョン10.0.0から10.0.3
• Splunk Enterprise 9.4: バージョン9.4.0から9.4.8
• Splunk Enterprise 9.3: バージョン9.3.0から9.3.9
• Splunk Cloud Platform: バージョン10.2.2510.5、10.0.2503.12、10.1.2507.16、および9.3.2411.24

幸いにも、基本のSplunk Enterprise 10.2コンポーネントは、この特定のREST APIの脆弱性から影響を受けません。

対策と修正

企業ネットワークを潜在的な任意のコマンド実行から保護するためには、管理者はパッチの適用を最優先する必要があります。Splunkは、影響を受けるすべてのブランチで入力の検査の失敗を修正する公式のセキュリティアップデートをリリースしています。

• Splunk Enterprise 10.0環境をバージョン10.0.4にアップグレード
• Splunk Enterprise 9.4環境をバージョン9.4.9にアップグレード
• Splunk Enterprise 9.3環境をバージョン9.3.10にアップグレード

Splunk Cloud Platformの顧客は、Splunkが状況をモニタリングし、ホストされたインスタンスにパッチを直接適用しています。

---

元記事: https://gbhackers.com/splunk-rce-vulnerability-arbitrary-shell-commands/