文章总结： SplunkEnterprise10及以上版本存在高危漏洞链（CVE-2026-20253，CVSS9.8），攻击者可通过未授权访问内部PostgreSQL服务的API端点，利用参数注入和目录遍历实现任意文件写入，并结合凭证泄露最终获得远程代码执行权限。云部署环境中该服务默认启用，风险更高。建议用户立即更新版本并监控API访问、限制服务暴露。 综合评分： 87 文章分类： 漏洞分析,云安全,应急响应,WEB安全,威胁情报

Splunk高危漏洞链可致云数据库遭零认证RCE攻击

FreeBuf

2026年6月14日 19:00 上海

在小说阅读器读本章

去阅读

Splunk Enterprise 曝出高危漏洞链，攻击者可通过配置不当的 PostgreSQL 辅助服务实现远程代码执行（RCE）。该漏洞编号为（CVE-2026-20253），CVSS评分达9.8，影响 Splunk Enterprise 10 及后续版本。

漏洞源于新版 Splunk 引入的内部组件 PostgreSQL Sidecar Service。虽然本地部署环境中该服务并非默认启用，但在 AWS 上的 Splunk Enterprise 云部署中该服务默认激活，使得云环境面临开箱即用的安全风险。

Part01

漏洞利用链分析

据 watchTowr Labs 披露，该服务虽监听本地端口，但攻击者可通过 Splunk 主Web界面（端口8000）发送特制HTTP请求访问内部API端点，如”/v1/postgres/recovery/backup”和”/restore”。

漏洞核心在于认证控制缺失——API接受包括空值在内的任意凭证，并将其转发给 pg_dump、pg_restore 等 PostgreSQL 后端工具。由于这些工具执行时未实施严格认证检查，攻击者可触发未授权数据库操作。

研究人员发现，通过操纵”backupFile”参数，攻击者能利用目录遍历技术在系统任意位置创建或截断文件。更严重的是，攻击者可通过组合多个攻击行为实现更深层次的入侵：

1. 向”database”参数注入 PostgreSQL 连接字符串，强制 Splunk 连接至攻击者控制的数据库，将恶意数据库内容写入文件系统
2. 利用恢复功能中暴露的.pgpass文件凭证，在恢复过程中向内部 PostgreSQL 实例执行任意SQL语句

通过 PostgreSQL 大对象导出函数，攻击者可实现 Splunk 用户权限下的任意文件写入。在PoC中，攻击者通过覆盖正常操作时执行的 Splunk Python 脚本，最终在目标系统实现命令执行。

该漏洞表明，通过代理机制暴露的内部服务可能破坏安全假设，特别是当认证机制实施不当时。Splunk 已发布安全公告，强烈建议用户立即更新受影响版本。AWS 上的 Splunk Enterprise 用户应优先修补，因为漏洞组件在云环境中默认启用。

研究人员建议采取以下措施：

• 监控内部API端点的访问
• 限制非必要的服务暴露
• 检查关键Splunk组件的文件完整性
• 使用检测工具识别存在访问控制缺陷的系统

此案例证明，看似有限的漏洞（如任意文件写入）在与设计缺陷和凭证泄露结合时，可能演变为完整的系统入侵。

参考来源：

Splunk Enterprise Pre-Auth RCE Chain Exposes Database With Zero Authentication

Splunk Enterprise Pre-Auth RCE Chain Exposes Database With Zero Authentication

推荐阅读

#

#

#

#

#

#

#

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Splunk高危漏洞链可致云数据库遭零认证RCE攻击》