Trusted Design

CVE-2026-20253 の詳細

CVEの情報

説明:
In Splunk Enterprise 10.2 versions below 10.2.4 and 10 versions below 10.0.7, an unauthenticated user could create or truncate arbitrary files through a PostgreSQL sidecar service endpoint. The vulnerability exists because the PostgreSQL sidecar service endpoint lacks authentication controls, allowing any network-reachable user to invoke file operations without credentials. Splunk Enterprise versions 9.4 and earlier are not affected. If you cannot immediately upgrade to a fixed version, you can mitigate this vulnerability by disabling the PostgreSQL sidecar service.

CVE更新日: 2026-06-10 18:16:40.760000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2026-06-18

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.881710000

EPSS更新日: 2026-07-17 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2026-20253について、以下の観点で解説します。

1. 脆弱性の概要

CVE-2026-20253は、Splunk EnterpriseおよびSplunk Cloud PlatformにおけるPostgreSQLサイドカーサービスのエンドポイントに認証機能が欠如していることに起因する、認証なしで任意のファイルを作成または切り詰めることが可能な脆弱性です。この脆弱性はPostgreSQLサイドカーサービスエンドポイントに認証制御がないため、ネットワークに到達可能なユーザーであれば誰でも認証情報なしにファイル操作を呼び出すことができます。

1.1 影響

この脆弱性が悪用されると、攻撃者は認証なしでシステム上に任意のファイルを作成または既存のファイルを切り詰めることができます。 成功した場合、以下のような深刻な影響が発生する可能性があります。

  • 任意のファイルの作成または切り詰め
  • データ破壊
  • サービス停止
  • 機密情報への不正アクセス
  • システム整合性の侵害
  • 権限昇格やリモートコード実行 (RCE) への足がかり
  • インフラストラクチャ全体の侵害

この脆弱性は、CISAの既知の悪用された脆弱性カタログ(KEV)にも追加されており、実際に悪用が確認されています。

1.2 深刻度

CVE-2026-20253の深刻度は「Critical(緊急)」と評価されています。 * CVSS v3.1スコア: 9.8 (CRITICAL) * CVSS v3.1ベクトル: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H * AV:N (ネットワーク経由で攻撃可能) * AC:L (攻撃の複雑さが低い) * PR:N (認証不要) * UI:N (ユーザー操作不要) * S:U (スコープ変更なし) * C:H (機密性への影響が高) * I:H (完全性への影響が高) * A:H (可用性への影響が高)

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は特定のOSバージョンに限定されるものではなく、Splunk EnterpriseおよびSplunk Cloud Platformの特定のバージョンに影響します。

2.2 影響を受ける設定

影響を受けるのは、Splunk Enterpriseのバージョン10で導入されたPostgreSQLサイドカーサービスです。このサービスのエンドポイントは認証制御が欠如しています。

具体的に影響を受けるバージョンは以下の通りです。 * Splunk Enterprise 10.2系: 10.2.4未満のバージョン * Splunk Enterprise 10系: 10.0.7未満のバージョン * Splunk Cloud Platform 10.4.2604.3未満のバージョン * Splunk Cloud Platform 10.2.2510.14未満のバージョン

Splunk Enterpriseバージョン9.4以前は影響を受けません。

3. 影響を受けた時の兆候

具体的な兆候については、直接的に「影響を受けたときに現れる具体的なシステム上のサイン」としては明記されていませんが、脆弱性の性質と影響から以下が想定されます。 * システム上の予期せぬファイルの作成または変更。 * データベースの破損やサービス停止などの可用性の問題。 * Splunk環境内での不正なコード実行や内部ネットワークリソースへのアクセス。 * Splunkのログやシステムログにおける、PostgreSQLサイドカーサービスに関連する異常な動作やエラーログ。

4. 推奨対策

4.1 本対策

影響を受けるユーザーは、速やかに修正済みのバージョンにアップグレードする必要があります。

  • Splunk Enterprise:
    • 10.2系: 10.2.4以降にアップグレード
    • 10系: 10.0.7以降にアップグレード
  • Splunk Cloud Platform:
    • 10.4.2604.3以降にアップグレード
    • 10.2.2510.14以降にアップグレード

詳細については、Splunkのセキュリティアドバイザリ(SVD-2026-0603)を参照してください。

4.2 暫定回避策(緩和策)

直ちに修正バージョンにアップグレードできない場合、以下の緩和策を検討してください。

  • PostgreSQLサイドカーサービスを無効化する。
  • ネットワークレベルで、影響を受けるサービスポート(PostgreSQLサイドカーサービス)へのアクセスを制限する。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る