Splunk の脆弱性 CVE-2026-20140 が FIX:DLL サイドローディング攻撃による SYSTEM 権限昇格

Splunk Enterprise for Windows Vulnerability Let Attackers Hijack DLLs and Gain SYSTEM Access

2026/02/20 CyberSecurityNews — Splunk が公表したのは、Windows 版 Splunk Enterprise に存在する高深刻度の脆弱性に関する情報である。この脆弱性により、低権限のローカル・ユーザーであっても、DLL サイドローディング攻撃を通じて SYSTEM 権限への昇格が可能になる。この脆弱性 CVE-2026-20140 (CVSSv3.1:7.7:High) は、2026年2月18日付けのアドバイザリ SVD-2026-0205 として公開されている。なお、脆弱性のカテゴリーとしては、CWE-427 (Uncontrolled Search Path Element) に分類される。

この脆弱性は、Windows 版 Splunk Enterprise の以下バージョンに影響する。ただし、バージョン 10.2.0 は影響を受けない。

  • 10.0.0〜10.0.2
  • 9.4.0〜9.4.7
  • 9.3.0〜9.3.8
  • 9.2.0〜9.2.11

Splunk Enterprise を実行している Windows システムに対して、低権限でアクセスできる攻撃者であれば、システム・ドライブ上の Splunk インストール・ディレクトリ配下に任意のディレクトリを作成し、その中に悪意の DLL を配置する攻撃が可能になる。

それにより、Splunk Enterprise サービスが再起動するときに、安全ではないライブラリ検索順序により、アプリケーションが悪意の DLL を読み込む可能性が生じる。このサービスは SYSTEM 権限で実行されるため、挿入されたコードは同等の高権限を取得する。結果として、攻撃者によるホスト・マシンの完全な制御が可能になる。

この攻撃の特性を、CVSS ベクターが示している。ローカルアクセス (AV:L) が必要なためリモート悪用は限定される。その一方で、攻撃複雑性(AC:H)およびユーザー操作要件 (UI:R) が存在するが、共有環境やマルチユーザー Windows 環境では、依然として実質的なリスクが残る。

Scope 変更 (S:C) が発生する可能性があり、機密性/完全性/可用性はいずれも High 評価である。そのため、侵害が成功したときの影響は深刻なものになる。

なお、この脆弱性は、非 Windows 環境の Splunk 展開には影響しない。

影響バージョンと修正版は以下の通りである。

ProductAffected VersionsFixed Version
Splunk Enterprise 10.010.0.0 to 10.0.210.0.3
Splunk Enterprise 9.49.4.0 to 9.4.79.4.8
Splunk Enterprise 9.39.3.0 to 9.3.89.3.9
Splunk Enterprise 9.29.2.0 to 9.2.119.2.12
Splunk Enterprise 10.2Not Affected10.2.0

すでに Splunk は、10.0.3/9.4.8/9.3.9/9.2.12 をリリースし、この問題に対処している。なお、バージョン 10.2.0 は影響を受けない。Windows 版 Splunk Enterprise を利用する組織は、直ちに該当パッチを適用すべきである。

迅速なパッチ適用が困難な場合には、システム・ドライブ内ディレクトリの書き込み権限を制限し、未承認 DLL の配置を防止する必要がある。

現時点で、実環境における悪用やアクティブな検出報告はない。この脆弱性は、セキュリティ研究者 Marius Gabriel Mihai により発見され、責任のある開示が行われた。

Windows 版の Splunk Enterprise において、ローカルの低権限ユーザーが管理者権限 (SYSTEM 権限) を奪取できてしまう深刻な脆弱性が公表されました。この問題の根本原因は、プログラムが実行に必要な部品 (DLLファイル) を探す際の検索順序が適切に制御されていないことにあります (CWE-427)。Windows 版の Splunk が特定のフォルダから DLL を読み込もうとする際に、その場所に悪意のある DLL を、あらかじめ置いておくことで、本来のプログラムに代わって攻撃者のコードを実行させてしまう DLLサイドローディング という手法が成立します。ご利用のチームは、ご注意ください。よろしければ、Splunk での検索結果も、ご参照ください。