Splunk Enterprise/Cloud の脆弱性 CVE-2026-20204 が FIX:RCE の可能性

Splunk Enterprise and Cloud Platform Vulnerability Enables Remote Code Execution Attacks

2026/04/16 CyberSecurityNews — Splunk の Enterprise/Cloud プラットフォームに影響を及ぼす、重大なセキュリティ脆弱性が、同社の研究者である Gabriel Nitu により発見/報告された。この脆弱性 CVE-2026-20204 (CVSS 7.1) を悪用する攻撃者は、Remote Code Execution (RCE) 攻撃を可能にし、ユーザー組織のネットワークに重大な脅威をもたらす。Splunk は機密ログ・データやセキュリティ・メトリクスを処理することが多いため、この環境における RCE 脆弱性への対処は、システム管理者にとって即時的な課題となる。

Splunk Enterprise/Cloud の脆弱性

この脆弱性の根本的な原因は、ソフトウェアによる一時ファイル管理方法にある。脆弱性 CVE-2026-20204 は、Splunk Web コンポーネント内における特定ファイルの不適切な処理/分離の不備に起因し、CWE-377 に分類される。

それにより、アプリケーションが一時データを適切に分離できないケースが生じ、攻撃者に対してシステム・プロセスを不正操作するための入口を与えてしまう。この脆弱性を悪用する際に、高度な権限は不要であるが、以下の条件が生じる。

  • 攻撃者は、低権限ユーザー・アカウントを保有していればよく、管理者権限は不要である。
  • 攻撃者は、細工された悪意のファイルを “SPLUNK_HOME/var/run/splunk/apptemp” ディレクトリへアップロードする必要がある。
  • 当該ファイルが処理されることで、攻撃者はホスト・サーバ上において不正コードのリモート実行が可能になる。

ユーザー組織にとって必要なことは、自社環境での脆弱なバージョンの有無を監査することである。

  • この問題は、Splunk Web コンポーネントが有効なコンフィグにおいて影響を及ぼす。
  • Splunk Enterprise 環境では複数のリリース・ブランチが対象となる。
  • 具体的には、10.2 系列 (10.2.1 未満)/10.0 系列 (10.0.5 未満)/9.4.0〜9.4.9 系列/9.3 系列 (9.3.10 以下) が影響を受ける。

Splunk Cloud Platform も複数のビルドで影響を受ける。対象バージョンは、10.3.2512.5 未満/10.2.2510.9 未満/10.1.2507.19 未満/10.0.2503.13 未満/9.3.2411.127 未満である。

なお、Splunk は、最新の 10.4.2603 ブランチでは、この脆弱性の影響が生じないことを確認している。

対策

Splunk の公式セキュリティ・アドバイザリ(SVD-2026-0403) によると、ユーザー組織にとって必要なことは、悪用を防ぐため即時対策の実施である。現時点において、実環境での悪用は確認されておらず、管理者には対応のための猶予が存在する。

セキュリティチームは、以下の対策を実施すべきである。

  • Web コンフィグ・ファイルを変更し、Web インターフェイスを無効化して攻撃経路を遮断する。
  • Splunk Enterprise を 10.2.1/10.0.5/9.4.10/9.3.11 以上の修正済みバージョンへアップデートする。
  • Splunk Cloud Platform 環境を監視し、ベンダーによる自動パッチ適用状況を確認する。
  • パッチ適用までの間は、Splunk Web コンポーネントを一時的に無効化する。

訳者後書:この脆弱性の主な原因は、Splunk が作成する一時ファイルの管理方法の不備にあります。脆弱性 CVE-2026-20204 (CVSS 7.1) は、Splunk Web コンポーネントが特定のディレクトリにファイルを保存する際に、それらを適切に隔離できないために発生します。管理者のような高い権限を持っていなくても、システムにログインできる一般的なユーザー・アカウントさえあれば、細工した悪意のファイルを特定の場所へアップロードすることで、サーバ上でプログラムを実行させることが可能になっています。Splunk は機密性の高いログやセキュリティ情報を扱う重要なシステムであるため、ここが侵害されると組織全体の安全が脅かされる恐れがあります。ご利用のチームは、ご注意ください。よろしければ、Splunk での検索結果も、ご参照ください。