Splunk phát hành bản cập nhật vá lỗ hổng thực thi mã từ xa nghiêm trọng

Splunk phát hành bản cập nhật vá lỗ hổng thực thi mã từ xa nghiêm trọng

Splunk vừa công bố các bản sửa lỗi cho các lỗ hổng bảo mật trong Splunk Enterprise, Cloud Platform và MCP Server, cũng như trong các gói bên thứ ba trên các sản phẩm của mình.

Splunk Security Update

Một lỗ hổng có mức độ nghiêm trọng cao trong Splunk Enterprise và Cloud Platform, được theo dõi dưới mã định danh CVE-2026-20204, có thể bị kẻ tấn công khai thác để tải lên tệp độc hại vào một thư mục tạm và đạt được thực thi mã từ xa (RCE).

Theo Splunk, lỗi này tồn tại do các tệp tạm được xử lý không đúng cách và không được cô lập đủ tốt trong thư mục đó. Điều này tạo điều kiện cho người dùng có quyền hạn thấp có thể thực thi mã độc trên hệ thống.

Hai vấn đề khác có mức độ nghiêm trọng trung bình cũng đã được giải quyết trong Splunk Enterprise và Cloud Platform. Một lỗi có thể bị khai thác để tạo tên người dùng chứa byte null hoặc byte được mã hóa phần trăm không phải UTF-8, ngăn chặn việc chuyển đổi sang định dạng phù hợp. Lỗi còn lại cho phép kẻ tấn công bật hoặc tắt tính năng Tăng tốc Mô hình Dữ liệu (Data Model Acceleration).

Splunk khuyến cáo người dùng nên cập nhật lên các phiên bản Splunk Enterprise 10.2.2, 10.0.5, 9.4.10, 9.3.11 hoặc cao hơn, các phiên bản này chứa các bản sửa lỗi cho tất cả các khiếm khuyết bảo mật nêu trên. Các phiên bản trên Cloud Platform cũng đang được Splunk vá lỗi.

Vào thứ Tư vừa qua, công ty cũng đã khắc phục CVE-2026-20205, một lỗ hổng nghiêm trọng trong ứng dụng MCP Server có thể cho phép những kẻ tấn công đã xác thực xem các phiên và mã thông báo ủy quyền của người dùng dưới dạng văn bản thuần túy.

"Lỗ hổng này sẽ yêu cầu quyền truy cập cục bộ vào các tệp nhật ký hoặc quyền truy cập quản trị vào các chỉ mục nội bộ, theo mặc định chỉ vai trò quản trị viên mới nhận được," Splunk lưu ý. Các bản sửa lỗi cho lỗi này đã được bao gồm trong phiên bản ứng dụng MCP Server 1.0.3.

Ngoài ra, công ty đã triển khai các bản sửa lỗi cho các lỗi trong các gói bên thứ ba trong Splunk Enterprise, Add-on Operator for Kubernetes, ứng dụng IT Service Intelligence (ITSI) và Universal Forwarder.

Hiện tại, Splunk chưa đề cập đến việc bất kỳ lỗ hổng nào trong số này đang bị khai thác trong tự nhiên (in-the-wild). Thông tin chi tiết thêm có thể được tìm thấy trên trang tư vấn bảo mật của công ty.