این آسیب پذیری در Splunk Enterprise که با شناسه CVE-2026-20253 ردیابی میشود، Splunk Enterprise (نسخههای 10.2.0 تا 10.2.3 و 10.0.0 تا 10.0.6) را تحت تأثیر قرار میدهد و به مهاجمان از راه دور و بدون امتیاز اجازه میدهد تا از طریق یک نقطه پایانی سرویس PostgreSQL sidecar، فایلهای دلخواه را در دستگاههای آسیبپذیر ایجاد یا حذف کنند.
تیم امنیتی Splunk در یک توصیهنامه امنیتی که هفته گذشته منتشر شد، گفت: «این آسیبپذیری وجود دارد زیرا اندپوینت سرویس PostgreSQL sidecar فاقد کنترلهای احراز هویت است و به هر کاربر قابل دسترسی از طریق شبکه اجازه میدهد تا عملیات فایل را بدون اعتبارنامه فراخوانی کند.»
در ۱۲ ژوئن، چند روز پس از انتشار وصلههای امنیتی توسط Splunk، WatchTowr یک گزارش فنی، کد اکسپلویت proof-of-concept منتشر کرد و هشدار داد که این نقص میتواند برای حملات اجرای کد از راه دور مورد سوءاستفاده قرار گیرد.
در روز چهارشنبه، Splunk توصیهنامه خود را بهروزرسانی کرد و از مشتریان خواست تا به دلیل شواهدی از سوءاستفاده در سطح اینترنت، سیستمهای خود را در اسرع وقت وصله کنند.
در ژوئن ۲۰۲۶، تیم واکنش به حوادث امنیتی Splunk (PSIRT) از سوءاستفاده محدود از این آسیبپذیری آگاه شد. Splunk اکیداً توصیه میکند که مشتریان برای رفع این آسیبپذیری، به یک نسخه نرمافزاری اصلاحشده ارتقا دهند.
گروه Shadowserver بیش از ۱۴۰۰ نمونه Splunk در معرض اینترنت را ردیابی کرده است. اما هیچ اطلاعاتی در مورد اینکه چه تعداد از آنها در برابر حملات مداوم با هدف قرار دادن نقص CVE-2026-20253 آسیبپذیر هستند، وجود ندارد.
به گفته محققین امنیت سایبری این نوع آسیبپذیری یک مسیر حمله مکرر برای عاملان سایبری مخرب است و خطرات قابل توجهی را برای سازمانها می تواند ایجاد میکند.
Splunk همچنین اقدامات کاهش خطر را برای ادمین هایی که نمیتوانند بلافاصله سیستمهای آسیبپذیر را وصله کنند، به اشتراک گذاشت و به آنها توصیه کرد که سرویس Sidecar PostgreSQL را غیرفعال کنند تا سطح حمله از بین برود.
با این حال، همچنین هشدار داد که غیرفعال کردن PostgreSQL باعث خرابی پایپ لاین داده Edge Processor، OpAmp یا SPL2 در نمونههای آسیبدیده میشود.
منبع: