简介
Splunk 发布了安全更新,旨在修复 Splunk Enterprise 中的一个关键安全漏洞,该漏洞可能被利用进行未经认证的文件操作甚至远程代码执行。
该漏洞被追踪为CVE-2026-20253,在CVSS评分系统中评级为9.8。Splunk 本周在警报中表示:“在 10.2.4 和 10.0.7 以下的 Splunk Enterprise 版本中,未经认证的用户可以通过 PostgreSQL 的副车服务端点创建或截断任意文件。”“漏洞存在是因为PostgreSQL的sidecar服务终端缺乏认证控制,允许任何可访问网络的用户无需凭证即可调用文件操作。”该问题已在以下版本中得到解决——
- Splunk Enterprise 10.0.0 至 10.0.6 - 于 10.0.7 修复
- Splunk Enterprise 10.2.0 至 10.2.3 - 在 10.2.4 中修复
- Splunk Enterprise 10.4 - 不受影响
Splunk云未受该漏洞影响,因为该产品未使用Postgres的附加工具。
CVE-2026-20253 的更多技术细节被曝光,通过“/v1/postgres/recovery/backup”和“/v1/postgres/recovery/restore”端点在易受影响的系统上实现预认证的远程代码执行。
攻击链的运作方式如下——
- 连接到攻击者控制的数据库,并使用/backup端点将其内容转储到任意文件中
- 通过 /restore 端点加载攻击者控制的数据库转储到本地 PostgreSQL 实例,并包含一个“passfile”参数,指定“.pgpass”文件(“/opt/splunk/var/packages/data/postgres/.pgpass”)的路径,该文件包含“postgres_admin”用户的密码
- 数据库转储中定义的SQL查询将由Splunk的PostgreSQL实例执行
攻击者可以利用这一弱点,定义一个新函数,利用lo_export——一个用于从数据库中提取BLOB并将其保存为文件的函数——将攻击者控制的内容写入文件,随后在恢复过程中执行该函数。
攻击者在 Splunk 文件系统上拥有任意的文件写入原语,可以通过覆盖 Splunk 经常执行的 Python 脚本(例如,“/opt/splunk/etc/apps/splunk_secure_gateway/bin/ssg_enable_modular_input.py”)来进一步升级到远程代码执行,从而包含恶意负载。
整个操作顺序如下——
- 创建一个数据库并配置它,使用户无需密码即可认证,并赋予其足够的权限调用诸如 lo_export
- 使用 /backup 端点将远程数据库的转储数据导入到 Splunk 文件系统
- 使用 /restore 端点加载恶意数据库转储,在恢复过程中触发恶意函数的执行,并向 Splunk 文件系统编写由攻击者控制的 Python 脚本