Splunk закрыл три уязвимости в Enterprise и Cloud Platform: от подмены запросов до утечки хешей паролей

Splunk

Splunk выпустил обновления безопасности для трёх уязвимостей в Splunk Enterprise и Splunk Cloud Platform. Проблемы, получившие идентификаторы CVE-2026-20296, CVE-2026-20297 и CVE-2026-20298, затрагивают компоненты Splunk Web и REST API. Наиболее критическая из них - CVE-2026-20296 с оценкой 8,3 балла по шкале CVSS - позволяет выполнить произвольные поисковые запросы на языке SPL от имени привилегированного пользователя. Две другие уязвимости связаны с обходом пути при установке приложений и раскрытием сохранённых хешей учётных записей.

Детали уязвимостей

Уязвимость CVE-2026-20296 затрагивает конечные точки Deployment Server в Splunk Web. Она представляет собой сочетание межсайтовой подделки запроса (CSRF) и внедрения команд SPL. Как пояснили в Splunk, GET-запросы к Deployment Server не проверяют CSRF-токены, а вводимые пользователем данные не фильтруются перед передачей в поисковый движок. Злоумышленнику достаточно убедить жертву, обладающую правом list_deployment_server, открыть в браузере специально сформированный запрос. В результате атакующий может выполнять произвольные поиски SPL от имени системного пользователя splunk-system-user и получать доступ к индексированным данным и сохранённым учётным записям. В бюллетене подчёркивается, что эксплуатация невозможна без вовлечения жертвы - требуется фишинговая или социальная атака. Тем не менее, учитывая высокий уровень привилегий, который получает атакующий, Splunk оценивает уязвимость как критическую.

Вторая уязвимость, CVE-2026-20297, затрагивает REST-интерфейс установки приложений. Пользователь, имеющий одновременно возможности edit_local_apps и install_apps, может использовать параметр explicit_appname для записи файлов за пределами целевой директории приложения, в каталог $SPLUNK_HOME/etc/ и его подкаталоги. Причина - отсутствие проверки пути в процессе установки. В результате возможна подмена конфигурационных файлов или создание механизмов закрепления в системе. Уязвимость имеет высокий уровень опасности - 7,2 балла CVSS. Splunk отмечает, что обходные пути для этой проблемы отсутствуют: единственный способ защиты - установка обновления.

Наконец, CVE-2026-20298 - проблема раскрытия информации средней степени опасности (5,3 балла). Она затрагивает REST-конечную точку /servicesNS/-/-/storage/passwords. При обращении через команду | rest SPL низкопривилегированный пользователь, не обладающий ролями admin или power, может получить значение поля encr_password, в котором хранятся хеши учётных записей. Это даёт возможность атакующему попытаться восстановить пароли офлайн и в случае успеха расширить доступ к системе. Для устранения этой проблемы недостаточно просто обновить Splunk Enterprise - требуется дополнительно включить маскирование паролей в файле limits.conf, установив параметр mask_encr_password в значение true в секции [storage_passwords_masking], после чего перезапустить экземпляр.

В Splunk Cloud Platform уязвимости будут закрыты автоматически на стороне вендора - перечислены конкретные версии платформы, в которых исправления уже развёрнуты. Пользователям Splunk Enterprise настоятельно рекомендовано обновить свои установки до версий 10.4.1, 10.2.5, 10.0.8 и 9.4.13 или более поздних в соответствующей ветке поддержки. Для версии 9.3, которую затрагивает только CVE-2026-20297, требуется обновление до 9.3.14. Все три бюллетеня содержат детальные таблицы затронутых версий по каждому продукту и компоненту.

В качестве временных мер для защиты от CVE-2026-20296 Splunk рекомендует отключить Splunk Web, если это допустимо по условиям эксплуатации. Кроме того, администраторам следует пересмотреть распределение возможностей list_deployment_server, edit_local_apps и install_apps, ограничив их только доверенными пользователями, а также мониторить необычные REST-запросы, запросы на установку приложений и выполнение привилегированных SPL-команд. Для двух других уязвимостей обходных путей нет - только установка патча и, для CVE-2026-20298, дополнительная настройка.

Выпуск обновлений безопасности от Splunk в середине июля 2026 года укладывается в общую практику производителя по регулярному закрытию уязвимостей в своих продуктах. Наибольшее внимание привлекает CVE-2026-20296 - сочетание CSRF с SPL-инъекцией встречается реже, чем классические переполнения или межсайтовые скриптинги, но потенциальные последствия для систем, где Splunk выступает центральным инструментом мониторинга и корреляции событий, могут быть серьёзными. Организации, использующие Splunk Enterprise с активными функциями Deployment Server и Splunk Web, входят в зону повышенного риска, и обновление для них является приоритетной задачей.

Ссылки

Комментарии: 0