Splunk Enterprise 曝出高危漏洞链,攻击者可利用配置不当的 PostgreSQL Sidecar 服务,在零认证条件下实现远程代码执行,CVSS 评分 9.8。
📝 详细摘要
文章报道了 Splunk Enterprise 中的一个高危漏洞链(CVE-2026-20253,CVSS 9.8)。漏洞源于新版 Splunk 引入的内部 PostgreSQL Sidecar Service,该服务在 AWS 云部署中默认激活。攻击者可通过 Splunk 主 Web 界面发送特制 HTTP 请求,访问内部 API 端点,利用认证控制缺失的漏洞,操纵参数实现目录遍历、任意文件写入,最终通过覆盖 Python 脚本达成远程代码执行。文章详细拆解了漏洞利用链的四个关键步骤,并引用了 watchTowr Labs 的研究发现。Splunk 已发布安全公告,建议用户立即更新,并给出了监控、限制暴露、检查文件完整性等缓解措施。
💡 主要观点
- 漏洞核心在于 PostgreSQL Sidecar 服务的认证控制缺失。 该服务 API 接受包括空值在内的任意凭证,并将其转发给 pg_dump、pg_restore 等后端工具,导致未授权数据库操作成为可能。
💬 文章金句
- 该漏洞表明,通过代理机制暴露的内部服务可能破坏安全假设,特别是当认证机制实施不当时。
📊 文章信息
AI 初评:80
来源:FreeBuf
作者:FreeBuf
分类:软件编程
语言:中文
阅读时间:4 分钟
字数:888
标签: 安全, 漏洞分析, 云安全, Splunk, RCE