В мире информационной безопасности вновь зафиксировано тревожное событие, которое требует немедленного внимания со стороны тысяч организаций по всему миру. Компания Splunk, ведущий поставщик решений для анализа данных и мониторинга безопасности, официально объявила о наличии опасной уязвимости в своих основных продуктах - Splunk Enterprise и Splunk Cloud Platform. Эта проблема, получившая идентификатор CVE-2026-20204, позволяет злоумышленнику с минимальными привилегиями выполнить произвольный код на сервере, что в перспективе грозит полным захватом управления критически важной инфраструктурой. Для специалистов по кибербезопасности и системных администраторов, чья работа напрямую связана с платформой Splunk, эта новость означает начало срочной работы по аудиту и обновлению систем.
Уязвимость CVE-2026-20204
Согласно опубликованному 15 апреля 2026 года бюллетеню безопасности, суть уязвимости кроется в некорректной обработке и недостаточной изоляции временных файлов в компоненте Splunk Web. Технически проблема классифицируется как CWE-377, то есть относится к категории небезопасных временных файлов. Конкретный путь эксплуатации связан с каталогом SPLUNK_HOME/var/run/splunk/apptemp. Атака возможна даже с учётной записи рядового пользователя системы, не обладающего правами администратора или повышенными привилегиями (ролями "admin" или "power"). Такой пользователь может загрузить специально подготовленный вредоносный файл в указанную временную директорию, что при определённых условиях приводит к удалённому выполнению кода (RCE, Remote Code Execution).
Важно подчеркнуть, что для успешной атаки злоумышленнику необходимо иметь аутентифицированный доступ к системе. Однако именно низкий порог входа - возможность использовать обычную учётную запись - и делает эту уязвимость столь опасной. На практике это означает, что относительно незначительный инцидент, например компрометация пароля рядового аналитика, может быстро перерасти в катастрофическое событие с полным контролем над сервером Splunk. Данная платформа часто является центральным узлом в архитектуре безопасности организации, аккумулируя логи и события со всей сети. Получив над ней контроль, злоумышленники могут не только похищать конфиденциальные данные, но и манипулировать системой мониторинга, скрывая следы других атак. Уязвимость была обнаружена и ответственнно сообщена исследователем безопасности Splunk Габриэлем Ниту.
Степень серьёзности проблемы оценивается в 7.1 балла по шкале CVSS, что указывает на высокий уровень угрозы. Под угрозой находятся множество версий Splunk Web. Для локальных развёртываний Splunk Enterprise уязвимыми являются версии 10.2.0, все релизы линейки 10.0 от 10.0.0 до 10.0.4, а также версии 9.4.0-9.4.9 и 9.3.0-9.3.10. Что касается облачной платформы Splunk Cloud Platform, то здесь ситуация также требует внимания: уязвимости подвержены сборки, предшествующие определённым патченным версиям в ветках 10.3.2512, 10.2.2510, 10.1.2507, 10.0.2503 и 9.3.2411. При этом, по заявлению вендора, версия Splunk Cloud Platform 10.4.2603 изначально защищена от данной проблемы.
Компания Splunk настоятельно рекомендует всем клиентам немедленно принять меры для защиты своей инфраструктуры. Самый эффективный способ - установка обновлений безопасности. Для пользователей Splunk Enterprise необходимо обновиться до исправленных версий: 10.2.1, 10.0.5, 9.4.10 или 9.3.11 в зависимости от используемой линейки. Клиентам облачной платформы, в свою очередь, не стоит проявлять излишнюю беспечность. Несмотря на то что Splunk берёт на себя процесс развёртывания исправлений в своей облачной среде, администраторам следует уточнить статус своего конкретного экземпляра и убедиться, что он уже был обновлён.
Если немедленное обновление по каким-либо причинам невозможно, существует рабочий способ временной mitigation (снижения риска). Поскольку для эксплуатации уязвимости необходим активный компонент Splunk Web, его можно временно отключить. Это полностью устраняет поверхность для атаки до момента применения официального патча. Для этого администраторам необходимо изменить конфигурационный файл web.conf, деактивировав ненужные функции веб-интерфейса. Данная мера, однако, является компромиссной, так как лишает пользователей доступа к веб-консоли управления, и её следует рассматривать исключительно как временное решение в условиях высокого операционного риска.
Этот инцидент в очередной раз демонстрирует, что даже в зрелых и широко распространённых платформах для корпоративной безопасности могут обнаруживаться критические изъяны. Он также подчёркивает важность принципа минимальных привилегий и постоянного контроля за действиями всех пользователей, включая тех, чьи учётные записи не наделены особыми правами. Для организаций, использующих Splunk в качестве основы своего Security Operations Center (SOC, Центр мониторинга и реагирования на инциденты ИБ), оперативное устранение данной уязвимости должно стать приоритетной задачей, позволяющей предотвратить потенциально масштабный инцидент безопасности.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20204
- https://advisory.splunk.com/advisories/SVD-2026-0403
