Компания Splunk выпустила обновления безопасности для своих флагманских продуктов - Splunk Enterprise и Splunk Cloud Platform. В новых версиях закрыты сразу пять уязвимостей, многие из которых позволяют злоумышленнику получить доступ к конфиденциальным данным или даже выполнить произвольные команды на сервере. Это событие затрагивает широкий круг организаций, использующих решения Splunk для сбора и анализа событий информационной безопасности. Многие компании полагаются на эти системы для работы своих SOC-центров (центров кибербезопасности), поэтому любая брешь может привести к серьезным последствиям.
Согласно официальному бюллетеню, опубликованному 11 марта, исправления затронули версии Splunk Enterprise начиная с 9.3 и выше, а также соответствующие версии облачной платформы. Все обнаруженные уязвимости получили идентификаторы CVE (общеизвестные уязвимости) и оценки по шкале CVSS (система оценки уязвимостей) от среднего до высокого уровня риска. Самая опасная из них - CVE-2026-20163, набравшая 8,0 балла из 10.
Удаленное выполнение команд для привилегированных пользователей
Уязвимость CVE-2026-20163 затрагивает REST API-интерфейс "/splunkd/__upload/indexing/preview". Для её эксплуатации злоумышленнику требуется роль, обладающая высокопривилегированной возможностью "edit_cmd". Используя параметр "unarchive_cmd", атакующий может отправить специально сформированный запрос, который приведет к выполнению произвольных shell-команд на целевой системе. Причем степень воздействия оценивается как полная компрометация конфиденциальности, целостности и доступности. Эта уязвимость затронула версии Splunk Enterprise до 10.2.0, 10.0.4, 9.4.9 и 9.3.10, а также соответствующие сборки облачной платформы. Хотя для атаки нужны высокие привилегии, сам по себе риск высок: если злоумышленник уже получил права администратора или эквивалентную роль, он сможет полностью захватить сервер.
Раскрытие паролей через endpoint конфигураций
Другая критическая уязвимость - CVE-2026-20164 с оценкой 6,5 балла - позволяет пользователю с низкими привилегиями получить доступ к хэшированным или даже открытым паролям из файла "passwords.conf". Для этого достаточно отправить запрос к конечной точке REST API "/splunkd/__raw/servicesNS/-/-/configs/conf-passwords". Уязвимость возникла из-за неправильного контроля доступа: система не проверяла, имеет ли пользователь соответствующие права на чтение настроек безопасности. В результате сотрудник без статуса "admin" или "power" мог узнать учетные данные других пользователей или подключенных систем. Затрагиваются версии Enterprise до 10.2.0, 10.0.3, 9.4.9 и 9.3.10, а также аналогичные версии платформы. Это особенно опасно для крупных организаций, где доступ к Splunk имеют десятки аналитиков с разными уровнями полномочий.
Утечка токенов доступа к Observability Cloud
Уязвимость CVE-2026-20166 (CVSS 5,4) связана с приложением Discover Splunk Observability Cloud. При неправильной настройке доступа любой пользователь с низкими привилегиями мог считать API-токен для облачного сервиса Observability Cloud. Токен доступа - это ключ, который позволяет обращаться к внешним сервисам и получать данные мониторинга. Если такой токен попадет в руки злоумышленника, он сможет не только просматривать метрики, но и манипулировать настройками наблюдения. Уязвимость не затрагивает версии Splunk Enterprise ниже 9.4.9, так как в них это приложение отсутствует. Однако для пользователей более новых версий риск сохраняется, особенно если в организации практикуется передача токена между приложениями.
Чтение логов через MongoClient
Еще одна уязвимость раскрытия информации, CVE-2026-20165 (CVSS 6,3), позволяет низкопривилегированному пользователю извлекать чувствительную информацию из файлов журнала (логов) поисковых заданий. Проблема коренится в неправильном контроле доступа к логам канала MongoClient. На практике это означает, что любой сотрудник с учётной записью может изучить журналы работы других пользователей и найти там, например, номера счетов, IP-адреса или даже пароли, если они случайно попали в вывод. Уязвимость присутствует во версиях Enterprise до 10.2.1, 10.0.4, 9.4.9 и 9.3.10, а также в облачных версиях вплоть до 9.3.2411.124.
Межсайтовый скриптинг через создание представлений
Наконец, уязвимость CVE-2026-20162 (CVSS 6,3) представляет собой сохраненный межсайтовый скриптинг (Stored XSS - вид атаки, при которой вредоносный код постоянно сохраняется на сервере). Низкопривилегированный пользователь мог при создании нового представления (View) в интерфейсе управления внедрить нежелательный JavaScript-код. Для этого использовался обход путей (path traversal - техника манипуляции путями к файлам). Чтобы атака сработала, злоумышленнику необходимо было обманным путем заставить администратора или другого привилегированного пользователя выполнить определённый запрос в браузере. Если это удавалось, код выполнялся в контексте браузера жертвы, что могло привести к краже сессионных данных или перенаправлению на вредные ресурсы.
Что делать специалистам по безопасности
Компания Splunk уже выпустила исправленные версии: для Enterprise это версии 10.2.1, 10.0.4, 9.4.9, 9.3.10 и выше; для Cloud Platform - соответствующие обновления с указанными в бюллетене номерами сборок. Рекомендуется как можно скорее установить обновления, особенно для CVE-2026-20163 и CVE-2026-20164. В качестве временной меры можно ограничить доступ к REST API для пользователей, не имеющих ролей "admin" или "power", а также тщательно проверить все созданные представления на наличие подозрительного кода.
Учитывая популярность Splunk в корпоративной среде и количество обрабатываемых данных, эти уязвимости представляют реальную угрозу для многих компаний. Промедление с установкой патчей может стоить дорого: от утечки критически важных учетных данных до полного захвата системы. Поэтому командам информационной безопасности следует немедленно провести инвентаризацию используемых версий и запланировать обновление в кратчайшие сроки.
Ссылки
- https://advisory.splunk.com/advisories/SVD-2026-0305
- https://advisory.splunk.com/advisories/SVD-2026-0304
- https://advisory.splunk.com/advisories/SVD-2026-0303
- https://advisory.splunk.com/advisories/SVD-2026-0302
- https://advisory.splunk.com/advisories/SVD-2026-0301
- https://www.cve.org/CVERecord?id=CVE-2026-20164
- https://www.cve.org/CVERecord?id=CVE-2026-20166
- https://www.cve.org/CVERecord?id=CVE-2026-20165
- https://www.cve.org/CVERecord?id=CVE-2026-20163
- https://www.cve.org/CVERecord?id=CVE-2026-20162
