Splunk aşağı səlahiyyətli İstifadəçilərə RCE imkanı verən kritik boşluğu aradan qaldırıb

Splunk şirkəti Splunk Enterprise, Splunk Cloud Platform və MCP Server tətbiqində istifadə olunan üçüncü tərəf paketlərində aşkarlanmış bir sıra təhlükəsizlik boşluqlarının aradan qaldırıldığını açıqlayıb.

Açıqlanan məlumatlara əsasən Splunk Enterprise və Splunk Cloud Platform məhsullarına təsir edən, yüksək təhlükə səviyyəsinə malik CVE-2026-20204 identifikatorlu zəiflik aşağı səlahiyyətli istifadəçilər tərəfindən istismar oluna bilər. Bildirilir ki, sözügedən boşluq vasitəsilə hücumçu müvəqqəti qovluğa (temporary directory) zərərli fayl yükləyərək uzaqdan kod icrası imkanı əldə edə bilər.

Şirkətin izahına görə bu zəiflik müvəqqəti faylların (temporary file)  düzgün idarə olunmaması və həmin qovluqda yetərli izolyasiya mexanizminin təmin edilməməsi səbəbindən yaranır. Nəticədə admin və ya power roluna malik olmayan, məhdud səlahiyyətli istifadəçi $SPLUNK_HOME/var/run/splunk/apptemp qovluğuna zərərli fayl yerləşdirməklə sistemdə kod icrasına nail ola bilər.

Bununla yanaşı, Splunk Enterprise və Splunk Cloud Platform məhsullarında orta təhlükə səviyyəsinə malik daha iki boşluq da aradan qaldırılıb. Onlardan biri istifadəçi adlarında null byte və ya UTF-8 formatına uyğun olmayan percent-encoded baytların yaradılmasına imkan verərək həmin adların düzgün formata salınmasının qarşısını alırdı. Digər zəiflik isə hücumçuya “Data Model Acceleration” funksiyasını aktivləşdirmək və ya söndürmək imkanı verirdi.

İstifadəçilərə bütün qeyd olunan təhlükəsizlik qüsurlarının aradan qaldırıldığı Splunk Enterprise 10.2.2, 10.0.5, 9.4.10, 9.3.11 və ya daha yeni versiyalara keçmək tövsiyə olunur. Splunk Cloud Platform mühitlərində isə yeniləmələrin birbaşa şirkət tərəfindən tətbiq edildiyi bildirilir.

Şirkət, həmçinin, MCP Server tətbiqində aşkarlanmış yüksək təhlükə səviyyəli CVE-2026-20205 zəifliyinin də aradan qaldırıldığını açıqlayıb. Məlumata görə bu boşluq autentifikasiyadan keçmiş hücumçuya istifadəçi sessiyalarını və avtorizasiya tokenlərini açıq mətn şəklində görməyə imkan yarada bilərdi. Bununla belə, zəifliyin istismarı üçün log fayllarına lokal girişin və ya daxili indekslərə inzibati səviyyədə çıxışın olması tələb olunurdu. Şirkət qeyd edir ki, standart olaraq bu səlahiyyətlər yalnız administrator roluna verilir. Problemin aradan qaldırılması MCP Server tətbiqinin 1.0.3 versiyasına daxil edilib.