CVE-2026-20253 の詳細
CVEの情報
説明:
In Splunk Enterprise 10.2 versions below 10.2.4 and 10 versions below 10.0.7, an unauthenticated user could create or truncate arbitrary files through a PostgreSQL sidecar service endpoint. The vulnerability exists because the PostgreSQL sidecar service endpoint lacks authentication controls, allowing any network-reachable user to invoke file operations without credentials. Splunk Enterprise versions 9.4 and earlier are not affected. If you cannot immediately upgrade to a fixed version, you can mitigate this vulnerability by disabling the PostgreSQL sidecar service.
CVE更新日: 2026-06-10 18:16:40.760000
CVSSバージョン: 3.1
CVSSスコア: 9.8
KEVの情報
KEV更新日: 2026-06-18
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.881710000
EPSS更新日: 2026-07-17 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
CVE-2026-20253について、以下の観点で解説します。
1. 脆弱性の概要
CVE-2026-20253は、Splunk EnterpriseおよびSplunk Cloud PlatformにおけるPostgreSQLサイドカーサービスのエンドポイントに認証機能が欠如していることに起因する、認証なしで任意のファイルを作成または切り詰めることが可能な脆弱性です。この脆弱性はPostgreSQLサイドカーサービスエンドポイントに認証制御がないため、ネットワークに到達可能なユーザーであれば誰でも認証情報なしにファイル操作を呼び出すことができます。
1.1 影響
この脆弱性が悪用されると、攻撃者は認証なしでシステム上に任意のファイルを作成または既存のファイルを切り詰めることができます。 成功した場合、以下のような深刻な影響が発生する可能性があります。
この脆弱性は、CISAの既知の悪用された脆弱性カタログ(KEV)にも追加されており、実際に悪用が確認されています。
1.2 深刻度
CVE-2026-20253の深刻度は「Critical(緊急)」と評価されています。 * CVSS v3.1スコア: 9.8 (CRITICAL) * CVSS v3.1ベクトル: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H * AV:N (ネットワーク経由で攻撃可能) * AC:L (攻撃の複雑さが低い) * PR:N (認証不要) * UI:N (ユーザー操作不要) * S:U (スコープ変更なし) * C:H (機密性への影響が高) * I:H (完全性への影響が高) * A:H (可用性への影響が高)
2. 対象となる環境
2.1 影響を受けるOSバージョン
この脆弱性は特定のOSバージョンに限定されるものではなく、Splunk EnterpriseおよびSplunk Cloud Platformの特定のバージョンに影響します。
2.2 影響を受ける設定
影響を受けるのは、Splunk Enterpriseのバージョン10で導入されたPostgreSQLサイドカーサービスです。このサービスのエンドポイントは認証制御が欠如しています。
具体的に影響を受けるバージョンは以下の通りです。 * Splunk Enterprise 10.2系: 10.2.4未満のバージョン * Splunk Enterprise 10系: 10.0.7未満のバージョン * Splunk Cloud Platform 10.4.2604.3未満のバージョン * Splunk Cloud Platform 10.2.2510.14未満のバージョン
Splunk Enterpriseバージョン9.4以前は影響を受けません。
3. 影響を受けた時の兆候
具体的な兆候については、直接的に「影響を受けたときに現れる具体的なシステム上のサイン」としては明記されていませんが、脆弱性の性質と影響から以下が想定されます。 * システム上の予期せぬファイルの作成または変更。 * データベースの破損やサービス停止などの可用性の問題。 * Splunk環境内での不正なコード実行や内部ネットワークリソースへのアクセス。 * Splunkのログやシステムログにおける、PostgreSQLサイドカーサービスに関連する異常な動作やエラーログ。
4. 推奨対策
4.1 本対策
影響を受けるユーザーは、速やかに修正済みのバージョンにアップグレードする必要があります。
詳細については、Splunkのセキュリティアドバイザリ(SVD-2026-0603)を参照してください。
4.2 暫定回避策(緩和策)
直ちに修正バージョンにアップグレードできない場合、以下の緩和策を検討してください。
参照したサイト