Splunk の脆弱性 CVE-2026-20238/20239/20240 が FIX:DoS 攻撃や機密情報漏洩の恐れ

Splunk Patches Multiple Vulnerabilities that Enable DOS Attack and Exposes Sensitive Data

2026/05/22 CyberSecurityNews — Splunk が公開したのは、Enterprise/Cloud Platform/AI Toolkit に影響を及ぼす、複数の脆弱性に対するセキュリティ・アップデートである。これらの脆弱性を悪用する攻撃者は、サービス拒否 (DoS) 状態や機密性の高いデータの露出を引き起こす可能性がある。これらの脆弱性 CVE-2026-20238/CVE-2026-20239/CVE-2026-20240 は、2026年5月20日に公開された。

CVE-2026-20238:AI Toolkit のアクセス制御不備

この脆弱性 CVE-2026-20238 (CVSS 6.5) は、Splunk AI Toolkit バージョン 5.7.3 未満に影響する。この問題は、ロール継承のミスコンフィグにより発生する、不適切なアクセス制御に起因する。このツールキットは “authorize.conf” ファイル内の srchFilter エントリを使用して、デフォルトの “user” ロールを変更する。

さらに、継承された検索フィルタが OR 演算子で結合されるため、このコンフィグにより、カスタム・ロールに適用される厳格なフィルタが上書きされる可能性がある。その結果、”admin” または “power” ロールを持たない低権限ユーザーであっても、本来は制限されるべき機密性の高いデータへのアクセスが可能となる。

すでに Splunk は、バージョン 5.7.3 をリリースし、この問題に対処している。暫定的な対策としては、AI Toolkit の無効化がある。また、”authorization.conf” ファイルを手動で修正し、srchFilter 設定を削除/上書きする方法もある。ただし、この回避策により、ai_agent_run_history_index へのアクセスが広がる可能性があるため、追加の制限が必要となる。

CVE-2026-20239:ログを経由する機密データの露出

この脆弱性 CVE-2026-20239 (CVSS 7.5) は、Splunk Enterprise および Splunk Cloud Platform に影響する。この問題は、TcpChannel コンポーネントにおける出力サニタイズの不備に起因し、ソケットエラー発生時に入力/出力バッファ全体をログに記録してしまう。

_internal インデックスへのアクセス可能な攻撃者は、セッション Cookie や HTTP レスポンス・ボディといった機密性の高い情報を、ログファイルから取得できる。これにより、認証情報の窃取およびセッション・ハイジャックのリスクが大幅に増加する。

影響を受けるバージョンは以下である。

Splunk Enterprise 10.2.2 未満/10.0.5 未満
Splunk Cloud Platform 各サポート・ブランチの修正前バージョン

Splunk が推奨するのは、最新の修正バージョンへのアップグレードである。また、 _internal インデックスへのアクセスを、管理者ロールのみに制限することも推奨している。

CVE-2026-20240:Splunk Archiver における DoS

脆弱性 CVE-2026-20240 (CVSS 7.1) は、coldToFrozen.sh スクリプトにおける入力検証の不備に起因し、Splunk Archiver アプリに影響を及ぼす。このスクリプトはデータ・ライフサイクル管理に使用される。

低権限ユーザーであっても、任意のファイルパスを指定することで、この脆弱性の悪用が可能となり、重要ディレクトリの名称変更を引き起こす恐れがある。これにより、Splunk インスタンスが動作不能となり、サービス拒否 (DoS) 状態に至ってしまう。

この脆弱性は以下のバージョンに影響する。

Splunk Enterprise 10.2.2/10.0.5/9.4.11/9.3.12 未満
Splunk Cloud Platform デプロイメント

ユーザー組織に対して推奨されるのは、速やかなパッチの適用である。また、不要であれば、Splunk Archiver アプリを無効化することが推奨される。ただし、無効化は自動アーカイブ処理の中断を引き起こす可能性がある。

Splunk は、以下の対策を強く推奨している。

  • すべての影響コンポーネントを、最新の安全なバージョンへアップグレードする。
  • _internal などの、機密インデックスへのアクセスを制限する。
  • ロールベース・アクセス制御および継承権限を見直す。
  • パッチ適用が不可能な場合には、脆弱なアプリを無効化する。

これらの脆弱性が示すのは、アクセス制御のミスコンフィグ/不十分な入力検証/安全でないログ処理に関連するリスクである。Splunk 環境の保護においては、適時のパッチ適用および適切なコンフィグ管理が不可欠である。

訳者後書:Splunk の新たな脆弱性は、ロール継承時の条件結合の不備/ログ出力時のサニタイズ不足/スクリプトにおける入力検証の不備に起因します。 脆弱性 CVE-2026-20238 は、 フィルターの結合処理の誤りにより、本来は制限されるべきデータへのアクセスを許すものです。脆弱性 CVE-2026-20239 では、エラー時の不適切なログ記録により機密情報が露出する設計上の不備に起因します。脆弱性 CVE-2026-20240 は、入力値のチェック漏れから、重要なディレクトリの変更によるサービス拒否を招く恐れがあります。ご利用のチームは、ご注意ください。よろしければ、Splunk での検索結果も、ご参照ください。