Splunk RCE漏洞解析：攻击者可任意执行Shell命令

目前，针对这一漏洞的威胁检测签名尚未发布，因此及时修补和严格执行权限控制措施至关重要。

漏洞概述

Splunk已发布紧急安全公告，警告用户其Enterprise与Cloud平台存在一个高危漏洞，编号为CVE-2026-20163，CVSS评分为8.0。该漏洞允许攻击者在目标系统上执行远程命令，危害极大。

漏洞成因

该漏洞源于系统在索引上传文件前的预览阶段，未能妥善处理用户输入。尽管攻击者需要具备高级管理员权限才能利用此漏洞，但一旦得手，恶意用户便能获得底层服务器的控制权。

该漏洞被归类为CWE-77，存在于Splunk的REST API组件中，具体涉及 /splunkd/__upload/indexing/preview 端点。攻击者必须拥有包含 edit_cmd 高级权限的用户角色，才能利用此漏洞发起攻击。

攻击原理

在满足条件后，攻击者可在文件上传预览过程中，操纵unarchive_cmd参数。由于系统未能正确清理此输入，攻击者能轻易注入并直接在服务器上执行任意Shell命令。

受影响版本

此漏洞由安全研究员Danylo Dmytriiev与Splunk内部团队联合发现并上报。受影响的企业版本包括：Enterprise 10.0.0–10.0.3、9.4.0–9.4.8、9.3.0–9.3.9。Cloud Platform 平台中，低于 10.2.2510.5、10.1.2507.16、10.0.2503.12 和 9.3.2411.124 的版本均受影响。

Splunk Enterprise 10.2基础版本不受影响。目前，Splunk正主动监控并向受影响的Cloud Platform实例直接部署补丁更新。

修复建议

Splunk强烈建议立即通过更新或临时缓解措施来解决此漏洞：

升级Splunk Enterprise：管理员应尽快将版本更新至 10.2.0、10.0.4、9.4.9、9.3.10 或更高版本。若无法立即升级，可从所有用户角色中完全移除 edit_cmd 高级权限，通过断绝攻击所需的命令执行权限来有效阻断攻击链。

目前该漏洞尚未出现特定的威胁检测签名，因此主动打补丁和实行严格权限管理至关重要。