Splunk の RCE 脆弱性 CVE-2026-20163 が FIX:REST API における適切なサニタイズ

Splunk RCE Vulnerability Exposes Systems to Arbitrary Shell Command Execution by Attackers

2026/03/12 gbhackers — Splunk の Enterprise/Cloud Platform で発見された、深刻度 High のリモートコード実行 (RCE) の脆弱性は、システムに深刻なセキュリティ・リスクを招くものだ。この脆弱性 CVE-2026-20163 (CVSS:8.0) を悪用する脅威アクターは、ホスト・オペレーティング・システム上で、任意のシェル・コマンド実行の可能性を得る。このバグは、エンタープライズ・ソフトウェアにおける、入力値の不適切な無害化 (CWE-77) の危険性を示すものだ。

エクスプロイトの技術的な詳細

このプラットフォームの REST API に、脆弱性 CVE-2026-20163 は存在する。具体的には、”/splunkd/__upload/indexing/preview” エンドポイントである。

ユーザーが Splunk へファイルをアップロードすると、システムはデータベースへのインデックス化を行う前のファイル内容をプレビューする。このプレビュー・フェーズでは、システムの unarchive_cmd と呼ばれるパラメータが使用される。

このパラメータへ渡される入力を、Splunk は適切にサニタイズしないため、攻撃者は隠されたシェル・コマンドを注入できる。

つまり、システムがファイル・プレビューを処理する際に、攻撃者が埋め込んだ悪意の命令が認識されずに実行されてしまう。

ただし、この脆弱性の脅威レベルを下げる重要な制限条件が存在する。この脆弱性を悪用する攻撃者は、事前に edit_cmd 権限を持つ高権限ユーザー・アカウントにアクセスしている必要がある。

したがって、通常のユーザーであれば、エクスプロイトの直接実行は不可能であるが、Admin アカウントが侵害されている場合には大きなリスクとなる。アプリケーション・アクセスからサーバの完全制御へと、脅威アクターがピボットする可能性がある。

この脆弱性は、オンプレミス/クラウド・デプロイメントの複数バージョンに影響を及ぼす。システム管理者は、以下の影響を受けるバージョンと、自身の環境を確認する必要がある。

  • Splunk Enterprise 10.0:version 10.0.0〜10.0.3
  • Splunk Enterprise 9.4:version 9.4.0〜9.4.8
  • Splunk Enterprise 9.3:version 9.3.0〜9.3.9
  • Splunk Cloud Platform:version 10.2.2510.5/10.0.2503.12/10.1.2507.16/9.3.2411.24 未満

その一方で、Splunk Enterprise 10.2 ベースのコンポーネントは、この REST API 脆弱性の影響を受けない。

重要な緩和策と修正

この任意コマンドの実行リスクからエンタープライズ・ネットワークを保護するために、管理者はパッチ適用を優先する必要がある。

すでに Splunk は、影響を受けるすべてのブランチに対して公式のセキュリティ・アップデートを公開し、この入力サニタイズ処理の欠陥を修正している。

Splunk Cloud Platform 利用者については、Splunk が状況を監視し、ホストされているインスタンスに対して、パッチ適用を実施している。

  • Splunk Enterprise 10.0 環境はバージョン 10.0.4 へ更新
  • Splunk Enterprise 9.4 環境はバージョン 9.4.9 へ更新
  • Splunk Enterprise 9.3 環境はバージョン 9.3.10 へ更新

Splunk Enterprise/Cloud Platform において、サーバ OS 上での任意のコマンド実行を許す恐れのある、脆弱性 CVE-2026-20163 (CVSS 8.0) が発見されました。この問題の原因は、ファイル・アップロード時のプレビュー機能における、入力値に対する不適切な無害化にあります。

特定の API エンドポイントに対して、攻撃者が不正な命令を埋め込んだリクエストを送信すると、Splunk によりシステム・コマンドとして実行されてしまいます。ただし、この脆弱性の悪用には、管理者レベルの高権限 (edit_cmd 権限) が必要なため、CVSS 値は 8.0 と評価されています。ご利用のチームは、ご注意ください。よろしければ、Splunk での検索結果を、ご参照ください。