何が起きたか
Splunk Enterpriseは、認証されていない攻撃者が任意のファイルを作成または切り詰めることを可能にするPostgreSQL sidecarサービスエンドポイントの重大な脆弱性を含んでいます。WatchTowrの研究者は開示後48時間以内にPoC公開し、CISAは2026年6月12日までの実際の野生での悪用を確認した後、2026年6月18日にKEVカタログに追加しました。この脆弱性により、システム全体が危険にさらされます。
なぜ重要か
Splunkは、LLM推論、エージェント動作、データパイプラインを追跡するために使用される重要なAI/ML可観測性および監視インフラストラクチャコンポーネントです。Splunk導入の危殆化により、保存されているすべてのAIモデルログ、プロンプト、応答、推論メタデータが直接公開されます。攻撃者は、AI導入のセキュリティおよび可観測性層全体への管理者アクセス権を取得します。
攻撃経路
認証なし攻撃者は、公開されたPostgreSQL sidecarサービスエンドポイントに到達し、ファイル作成/切り詰め操作を呼び出して、任意のファイルシステムロケーションにファイルを書き込み、RCEにつながります。
影響を受けるシステム
Splunk Enterprise 10.0.x および 10.2.x バージョン 10.0.7 および 10.2.4 未満
緩和策
Splunk Enterprise 10.0.7 または 10.2.4 以降に更新してください。CISA期限は2026年6月21日です。