事件经过
Splunk Enterprise 在其 PostgreSQL sidecar 服务端点中包含一个严重漏洞,允许未经身份验证的攻击者创建或截断任意文件。WatchTowr 的研究人员在披露后 48 小时内发布了 PoC,CISA 在 2026-06-18 将其添加到 KEV 目录中,在确认 6 月 12 日之前存在主动的野外利用后。该漏洞可导致完整的系统妥协。
影响分析
Splunk 是关键的 AI/ML 可观测性和监控基础设施组件,用于跟踪 LLM 推理、代理行为和数据管道。Splunk 部署的妥协会直接暴露所有存储的 AI 模型日志、提示、响应和推理元数据。攻击者获得对 AI 部署的整个安全和可观测性层的管理访问权限。
攻击途径
未经身份验证的攻击者访问暴露的 PostgreSQL sidecar 服务端点并调用文件创建/截断操作,将文件写入任意文件系统位置,导致 RCE
受影响系统
Splunk Enterprise 10.0.x 和 10.2.x 版本,版本号低于 10.0.7 和 10.2.4
缓解措施
更新到 Splunk Enterprise 10.0.7 或 10.2.4 或更高版本;CISA 截止日期 2026 年 6 月 21 日