Компания Splunk выпустила двенадцать бюллетеней безопасности, закрывающих множественные уязвимости в Splunk Enterprise, Splunk Cloud Platform, Splunk Secure Gateway и Splunk SOAR. Среди них есть критические оценки по шкале CVSS (Common Vulnerability Scoring System - система оценки критичности уязвимостей), а также несколько уязвимостей высокого и среднего уровня опасности. Потенциальная эксплуатация позволяет удаленно выполнить произвольный код, получить доступ к данным без аутентификации, организовать подделку запросов на стороне сервера (SSRF - Server-Side Request Forgery) и выполнить межсайтовый скриптинг (XSS).
Детали уязвимостей
Наиболее опасная уязвимость зарегистрирована под идентификатором CVE-2026-20253 (SVD-2026-0603). Она получила оценку 9,8 из 10 (критическая). Проблема затрагивает компонент PostgreSQL sidecar в Splunk Enterprise до версий 10.2.4 и 10.0.7, а также Splunk Cloud Platform до определённых версий. Как сообщает вендор, "the PostgreSQL sidecar service endpoint lacks authentication controls" - конечная точка сервиса не требует подтверждения полномочий. Злоумышленник, имеющий сетевой доступ к этому endpoint, может без учётной записи создавать или урезать произвольные файлы на сервере. Вектор атаки не требует взаимодействия с пользователем, что делает уязвимость особенно критичной для организаций, не изолировавших управляющий трафик.
Уязвимость CVE-2026-20251 (SVD-2026-0601) с оценкой 8,8 (высокая) позволяет удалённо выполнить код через небезопасную десериализацию в приложении Splunk Secure Gateway. Библиотека jsonpickle восстанавливает произвольные объекты Python из данных JSON без должной валидации. Атакующий с ролью низких привилегий (не admin и не power) может отправить специально сформированный запрос, приводящий к выполнению произвольных команд на сервере. Затронуты Splunk Enterprise до 10.2.4, 10.0.7, 9.4.12 и 9.3.13, а также соответствующие версии Splunk Cloud Platform и сам Splunk Secure Gateway до 3.10.6, 3.9.20 и 3.8.67. В качестве временной меры защиты Splunk рекомендует отключить или удалить компонент Secure Gateway, если не используются Splunk Mobile, Spacebridge и Mission Control.
Уязвимость CVE-2026-20252 (SVD-2026-0602) с оценкой 7,6 (высокая) связана с функцией экспорта дашбордов в формат PDF в Dashboard Studio. Проверка доверенных доменов использует префиксное совпадение, которое можно обойти поддоменами, контролируемыми атакующим. Кроме того, сервис автоматически следует HTTP-редиректам без повторной проверки. В результате низкопривилегированный пользователь может отправить серверные запросы к произвольным внутренним ресурсам. Это открывает путь к разведке внутренней сети, доступу к облачным метаданным и другим ограниченным сервисам.
Группа уязвимостей классических дашбордов (CVE-2026-20254, CVE-2026-20255, CVE-2026-20256, CVE-2026-20257) получила оценку 5,7 (средняя). Все они связаны с некорректной валидацией ввода: через инъекцию CSS, протокольно-относительные URL и неполную проверку внешних ссылок низкопривилегированный пользователь может создать вредоносный дашборд, который при просмотре более привилегированным коллегой отправит конфиденциальные данные на внешний сервер. Более серьёзная уязвимость CVE-2026-20258 (SVD-2026-0608) с оценкой 7,1 (высокая) представляет собой хранимый межсайтовый скриптинг (XSS). Атакующий может сохранить вредоносный скрипт в HTML-панели классического дашборда. Для эксплуатации требуется взаимодействие жертвы (переход по ссылке), однако успешная атака может привести к краже сессионных токенов, данным и выполнению действий от имени жертвы.
Также исправлена уязвимость CVE-2026-20259 (SVD-2026-0609) с оценкой 5,5 (средняя) - неправильный контроль доступа к endpoint переназначения владельца сохранённого поиска. Пользователь с расширенными правами edit_saved_search_owner может переназначить поиск за пределы своей зоны ответственности.
В Splunk SOAR версий ниже 8.5.0 обнаружена уязвимость CVE-2026-20260 (SVD-2026-0611) с оценкой 4,3 (средняя): неаутентифицированный злоумышленник может внедрить ANSI-управляющие последовательности в журналы приложения через специально сформированный путь HTTP-запроса. При просмотре логов в терминале эти последовательности могут интерпретироваться, создавая ложную информацию или потенциально маскируя атаку.
Отдельные бюллетени (SVD-2026-0610 и SVD-2026-0612) посвящены обновлениям сторонних пакетов, используемых в Splunk Enterprise и Splunk SOAR. Исправлены уязвимости в Golang, MongoDB, aiohttp, PostgreSQL, pyOpenSSL, pip, wheel и других компонентах. Степень критичности варьируется от низкой до критической.
Splunk рекомендует незамедлительно обновить Splunk Enterprise до версий 10.4.0, 10.2.4, 10.0.7, 9.4.12 или 9.3.13 (в зависимости от ветки). Для Splunk Cloud Platform патчи применяются автоматически, но вендор советует проверить актуальность сборок. Splunk SOAR необходимо обновить до версии 8.5.0. Если обновление Splunk Secure Gateway невозможно, его следует отключить.
Эксплуатация перечисленных уязвимостей может привести к полному компрометированию платформы управления данными, включая доступ к индексам, конфигурациям и учётным данным. Организациям, использующим Splunk для мониторинга безопасности и анализа логов, необходимо в кратчайшие сроки установить исправления, чтобы предотвратить потенциальные атаки.
Ссылки
- https://advisory.splunk.com/advisories/SVD-2026-0601
- https://advisory.splunk.com/advisories/SVD-2026-0602
- https://advisory.splunk.com/advisories/SVD-2026-0603
- https://advisory.splunk.com/advisories/SVD-2026-0604
- https://advisory.splunk.com/advisories/SVD-2026-0605
- https://advisory.splunk.com/advisories/SVD-2026-0606
- https://advisory.splunk.com/advisories/SVD-2026-0607
- https://advisory.splunk.com/advisories/SVD-2026-0608
- https://advisory.splunk.com/advisories/SVD-2026-0609
- https://advisory.splunk.com/advisories/SVD-2026-0610
- https://advisory.splunk.com/advisories/SVD-2026-0611
- https://advisory.splunk.com/advisories/SVD-2026-0612
