◈ Intelijen Keamanan AI ← Umpan harian
Kerentanan  ·  2026-06-19

Splunk Enterprise RCE PostgreSQL Sidecar Tanpa Autentikasi — CISA KEV Ditambahkan 18 Juni 2026 (CVE-2026-20253)

KerentananHigh dampakGlobalCVE-2026-20253
Apa yang terjadi
Splunk mengumumkan CVE-2026-20253 pada 10 Juni 2026, mempengaruhi versi Splunk Enterprise di cabang 10.0.x dan 10.2.x. Endpoint layanan sidecar PostgreSQL yang diperkenalkan dalam Splunk 10 sepenuhnya kekurangan kontrol autentikasi (CWE-306), memungkinkan penyerang tanpa autentikasi yang dapat menjangkau jaringan untuk menginvokasi pembuatan atau pemotongan file arbitrer. watchTowr Labs mendemonstrasikan bahwa primitif penulisan file ini dapat digabungkan menjadi eksekusi kode jarak jauh pra-autentikasi penuh dengan menyalahgunakan fungsi lo_export PostgreSQL untuk menulis dan menjalankan skrip berbahaya. PoC publik tersedia pada 12 Juni. Eksploitasi aktif diamati mulai 15 Juni, dan CISA menambahkan CVE ke katalog Known Exploited Vulnerabilities pada 18 Juni 2026, dengan tenggat waktu perbaikan federal 21 Juni. Perbaikan tersedia di Splunk Enterprise 10.0.7 dan 10.2.4; Splunk Enterprise 10.4 dan Splunk Cloud tidak terpengaruh.
Mengapa penting
Splunk Enterprise adalah platform SIEM dan log-analytics dominan yang digunakan secara ekstensif dalam pipeline operasi AI/ML untuk telemetri, pemantauan keluaran model, dan observabilitas keamanan. Kompromi server Splunk memberi penyerang visibilitas penuh atas — dan kontrol atas — infrastruktur deteksi pembela, memungkinkan penciptaan titik buta sebelum serangan lebih lanjut pada beban kerja AI. Daftar CISA KEV mengonfirmasi eksploitasi aktif di liar dengan tenggat waktu patch federal 3 hari.
Vektor serangan
Penyerang jaringan tanpa autentikasi mengirimkan permintaan ke endpoint layanan sidecar PostgreSQL, memanfaatkan autentikasi yang hilang untuk menulis file yang dikontrol penyerang. File kemudian dijalankan melalui fungsi lo_export PostgreSQL untuk mencapai eksekusi kode jarak jauh — tidak ada kredensial yang diperlukan.
Sistem yang terdampak
Splunk Enterprise 10.0.x (diperbaiki di 10.0.7) dan 10.2.x (diperbaiki di 10.2.4); Splunk Enterprise di AWS memiliki sidecar yang diaktifkan secara default
Mitigasi
Tingkatkan ke Splunk Enterprise 10.0.7 atau 10.2.4 segera. Jika penerapan patch tidak segera memungkinkan, batasi akses jaringan ke port layanan sidecar PostgreSQL. Pelanggan Splunk Cloud dilindungi oleh penerapan patch yang dikelola vendor. Pemberitahuan: https://advisory.splunk.com/advisories/SVD-2026-0603
Sumber
CISA KEV Catalog — CVE-2026-20253Splunk Advisory SVD-2026-0603NetSPI — CVE-2026-20253 Overview and Takeaways (June 15, 2026)Field Effect — Exploited Splunk vulnerability could allow RCE (June 17, 2026)NVD — CVE-2026-20253SecurityWeek - Splunk Enterprise Vulnerability Exploited in Attacks Days After Disclosure
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →