CISA cảnh báo lỗi Splunk Enterprise CVE-2026-20253 đang bị khai thác
CISA yêu cầu cơ quan liên bang Mỹ vá lỗi nghiêm trọng CVE-2026-20253 trên Splunk Enterprise đang bị khai thác thực tế. Lỗi cho phép kẻ tấn công không cần quyền tạo/xóa file qua endpoint PostgreSQL sidecar thiếu xác thực, có thể dẫn tới RCE.
Ngày 19/6/2026, BleepingComputer đưa tin CISA đã thúc giục các cơ quan liên bang Mỹ vá khẩn lỗ hổng nghiêm trọng CVE-2026-20253 trên Splunk Enterprise sau khi có bằng chứng khai thác thực tế.
Ý chính
- Bản chất lỗi: endpoint dịch vụ PostgreSQL sidecar thiếu kiểm soát xác thực, cho phép bất kỳ người dùng kết nối mạng nào gọi thao tác tạo hoặc cắt (truncate) file tùy ý mà không cần thông tin đăng nhập.
- Phiên bản ảnh hưởng: Splunk Enterprise 10.2.0–10.2.3 và 10.0.0–10.0.6.
- Khai thác: ngày 12/6, WatchTowr công bố phân tích kỹ thuật và mã PoC, cảnh báo có thể dẫn tới thực thi mã từ xa (RCE); ngày 18/6 Splunk xác nhận đã có khai thác giới hạn trong thực tế.
- Yêu cầu của CISA: thêm vào danh mục KEV và buộc các cơ quan FCEB vá theo Binding Operational Directive 26-04; Shadowserver theo dõi hơn 1.400 instance Splunk lộ trên Internet.
- Giảm thiểu tạm: tắt dịch vụ PostgreSQL sidecar, nhưng sẽ làm hỏng Edge Processor, OpAmp hoặc pipeline SPL2.
Nguồn gốc
Splunk
#security#CVE#Splunk#CISA#RCE
Bản tóm tắt được biên soạn bởi trợ lý AI của ORA·tech. Đọc bài gốc để có đầy đủ ngữ cảnh.
Bài liên quan
Security & DevSecOps
GitHub mở Innersource Security Advisories cho doanh nghiệp
Security & DevSecOps
ACM hỗ trợ ACME, tự động cấp/gia hạn chứng chỉ TLS công khai
Security & DevSecOps