Apa yang terjadi
Splunk Enterprise mengandung kerentanan kritis dalam endpoint layanan PostgreSQL sidecar yang memungkinkan penyerang unauthenticated untuk membuat atau memotong file arbitrer. Peneliti di WatchTowr menerbitkan PoC dalam waktu 48 jam setelah pengungkapan, dan CISA menambahkannya ke katalog KEV pada 2026-06-18 setelah mengonfirmasi eksploitasi in-the-wild aktif pada 12 Juni. Kerentanan ini memungkinkan kompromi sistem penuh.
Mengapa penting
Splunk adalah komponen infrastruktur observabilitas dan monitoring AI/ML kritis yang digunakan untuk melacak inferensi LLM, perilaku agen, dan pipeline data. Kompromi deployment Splunk secara langsung mengekspos semua log model AI yang disimpan, prompt, respons, dan metadata inferensi. Penyerang mendapatkan akses administratif ke seluruh lapisan keamanan dan observabilitas dari deployment AI.
Vektor serangan
Penyerang unauthenticated mencapai endpoint layanan PostgreSQL sidecar yang terekspos dan mengaktifkan operasi pembuatan/pemotongan file untuk menulis file ke lokasi filesystem arbitrer, yang menyebabkan RCE
Sistem yang terdampak
Splunk Enterprise versi 10.0.x dan 10.2.x di bawah 10.0.7 dan 10.2.4
Mitigasi
Perbarui ke Splunk Enterprise 10.0.7 atau 10.2.4 atau lebih baru; batas waktu CISA 21 Juni 2026