何が起きたか
Splunk は 2026年6月10日に CVE-2026-20253 を公開しました。Splunk Enterprise の 10.0.x および 10.2.x ブランチのバージョンに影響します。Splunk 10 で導入された PostgreSQL sidecar サービスエンドポイントは、認証制御が完全に欠けており (CWE-306)、ネットワークアクセス可能な認証なしの攻撃者は任意のファイル作成または切り詰めを実行できます。watchTowr Labs はこのファイル書き込みプリミティブが PostgreSQL の lo_export 関数を悪用して悪意あるスクリプトを書き込み・実行することで、完全な認証前のリモートコード実行にチェーン化できることを実証しました。公開 PoC は 6月12日までに利用可能になりました。6月15日から実際の悪用が観測され、CISA は 2026年6月18日に CVE を Known Exploited Vulnerabilities カタログに追加し、連邦政府の修復期限は 6月21日です。修正は Splunk Enterprise 10.0.7 および 10.2.4 で利用できます。Splunk Enterprise 10.4 および Splunk Cloud は影響を受けません。
なぜ重要か
Splunk Enterprise は支配的な SIEM およびログ分析プラットフォームであり、テレメトリ、モデル出力監視、セキュリティオブザーバビリティのための AI/ML 運用パイプラインに広範に使用されています。Splunk サーバの侵害により、攻撃者は防御者の検出インフラに対する完全な可視性と制御を取得でき、AI ワークロードへの さらなる攻撃前にブラインドスポット作成を可能にします。CISA KEV リスト記載は 3日間の連邦パッチ期限とともに、実際のワイルド内での悪用を確認します。
攻撃経路
認証なしのネットワーク攻撃者は PostgreSQL sidecar サービスエンドポイントにリクエストを送信し、認証の欠如を悪用して攻撃者制御ファイルを書き込みます。ファイルは PostgreSQL の lo_export 関数経由で実行され、認証情報なしでリモートコード実行を達成します。
影響を受けるシステム
Splunk Enterprise 10.0.x (10.0.7 で修正) および 10.2.x (10.2.4 で修正)。AWS 上の Splunk Enterprise は sidecar がデフォルトで有効になっています
緩和策
直ちに Splunk Enterprise 10.0.7 または 10.2.4 にアップグレードしてください。パッチが直ちに可能でない場合は、PostgreSQL sidecar サービスポートへのネットワークアクセスを制限してください。Splunk Cloud の顧客はベンダー管理のパッチにより保護されています。アドバイザリ: https://advisory.splunk.com/advisories/SVD-2026-0603