Tin tức bảo mật liên quan đến Splunk cho thấy nhiều lỗ hổng CVE mới đã được vá trong Splunk Enterprise, Splunk Cloud Platform và Splunk AI Toolkit. Các vấn đề này có thể dẫn đến rò rỉ dữ liệu và điều kiện denial-of-service (DoS) nếu hệ thống chưa được cập nhật bản vá.
Các lỗ hổng CVE được công bố
Các lỗi được công bố vào ngày 20/05/2026 gồm ba mã CVE: CVE-2026-20238, CVE-2026-20239 và CVE-2026-20240. Trong đó, mỗi cảnh báo CVE ảnh hưởng đến một thành phần khác nhau và tạo ra rủi ro bảo mật riêng biệt cho môi trường Splunk.
CVE-2026-20238 trong Splunk AI Toolkit
Lỗ hổng này có mức độ trung bình với CVSS 6.5, ảnh hưởng đến các phiên bản Splunk AI Toolkit thấp hơn 5.7.3. Nguyên nhân nằm ở improper access control do cấu hình kế thừa vai trò không đúng.
Toolkit sửa đổi vai trò mặc định user thông qua tệp authorize.conf với mục srchFilter. Khi Splunk kết hợp các search filter kế thừa bằng toán tử OR, cấu hình này có thể ghi đè các bộ lọc chặt chẽ hơn được áp dụng cho vai trò tùy chỉnh.
Kết quả là người dùng có đặc quyền thấp, không có vai trò admin hoặc power, có thể truy cập vào dữ liệu nhạy cảm vốn phải bị hạn chế. Đây là một dạng rủi ro an toàn thông tin điển hình từ cấu hình phân quyền sai.
Giảm thiểu cho lỗ hổng CVE này
Splunk đã khắc phục trong phiên bản 5.7.3. Biện pháp tạm thời gồm vô hiệu hóa AI Toolkit hoặc chỉnh sửa thủ công tệp authorization.conf để xóa hoặc ghi đè thiết lập srchFilter.
Tuy nhiên, workaround này có thể làm lộ ai_agent_run_history_index cho phạm vi truy cập rộng hơn, nên cần áp dụng thêm giới hạn truy cập phù hợp.
CVE nghiêm trọng trên Splunk Enterprise và Splunk Cloud Platform
CVE-2026-20239 là một lỗ hổng CVE mức cao với CVSS 7.5, ảnh hưởng đến Splunk Enterprise và Splunk Cloud Platform. Lỗi xuất phát từ improper output sanitization trong thành phần TcpChannel.
Khi xảy ra lỗi socket, thành phần này ghi toàn bộ buffer đầu vào/đầu ra vào log. Nếu kẻ tấn công có quyền truy cập vào chỉ mục _internal, họ có thể trích xuất thông tin nhạy cảm như session cookies và HTTP response bodies từ file log.
Điều này làm tăng đáng kể nguy cơ đánh cắp dữ liệu và session hijacking. Với các hệ thống Splunk dùng chung cho giám sát vận hành, việc bảo vệ log nội bộ trở thành điểm kiểm soát bắt buộc.
Tham khảo thêm tại NVD – National Vulnerability Database.
Khuyến nghị xử lý cho cảnh báo CVE này
Splunk khuyến nghị nâng cấp lên phiên bản đã vá mới nhất và chỉ cho phép vai trò quản trị truy cập vào _internal. Đây là bước giảm thiểu trực tiếp để hạn chế xâm nhập trái phép thông qua log nội bộ.
Lỗ hổng CVE trong Splunk Archiver app gây DoS
CVE-2026-20240 là lỗi mức cao khác với CVSS 7.1, ảnh hưởng đến ứng dụng Splunk Archiver. Vấn đề nằm ở improper input validation trong script coldToFrozen.sh, thành phần dùng để quản lý vòng đời dữ liệu.
Người dùng có đặc quyền thấp có thể khai thác lỗi bằng cách cung cấp đường dẫn tệp tùy ý. Hành vi này cho phép đổi tên các thư mục quan trọng, khiến phiên bản Splunk trở nên không hoạt động và dẫn tới denial-of-service.
Đây là một lỗ hổng CVE có tác động rõ ràng lên tính sẵn sàng của hệ thống, đặc biệt trong các môi trường phụ thuộc vào quy trình lưu trữ và di chuyển dữ liệu tự động.
Phạm vi ảnh hưởng và biện pháp khắc phục
Lỗi ảnh hưởng đến nhiều phiên bản Splunk Enterprise trước các mốc 10.2.2, 10.0.5, 9.4.11 và 9.3.12, đồng thời tác động đến các triển khai Splunk Cloud Platform. Trong ngữ cảnh lỗ hổng CVE, việc xác định đúng phiên bản là bước kiểm tra đầu tiên trước khi vá lỗi.
Organizations nên áp dụng bản vá ngay lập tức hoặc tắt ứng dụng Splunk Archiver nếu không cần sử dụng. Tuy nhiên, việc vô hiệu hóa ứng dụng có thể làm gián đoạn các workflow lưu trữ dữ liệu tự động.
Ảnh hưởng hệ thống và bề mặt tấn công
Ba lỗ hổng CVE này cho thấy các rủi ro phổ biến trong môi trường Splunk: kiểm soát truy cập cấu hình sai, xác thực đầu vào không đầy đủ và logging không an toàn. Mỗi lỗi có thể mở ra một hướng khai thác khác nhau, từ rò rỉ dữ liệu nhạy cảm đến hệ thống bị tấn công theo kiểu DoS.
Với lỗi liên quan đến TcpChannel, dữ liệu trong log có thể trở thành nguồn thông tin phục vụ khai thác tiếp theo. Với lỗi trong coldToFrozen.sh, chỉ một đầu vào không được kiểm soát cũng đủ làm gián đoạn dịch vụ. Với lỗi trong AI Toolkit, cấu hình phân quyền sai có thể làm mất hiệu lực các giới hạn truy cập dự kiến.
Biện pháp bảo vệ và cập nhật bản vá
Splunk khuyến nghị người dùng: cập nhật phiên bản đã vá, giới hạn quyền truy cập vào _internal, kiểm tra cấu hình authorize.conf, và xác minh các thiết lập srchFilter trong Splunk AI Toolkit. Các bước này giúp giảm nguy cơ từ cả lỗ hổng CVE lẫn lỗi cấu hình nội bộ.
Trong môi trường vận hành thực tế, việc quản lý bản vá và rà soát phân quyền cần được ưu tiên tương đương với giám sát log. Nếu bỏ qua các cảnh báo này, rủi ro an toàn thông tin sẽ tăng đáng kể do dữ liệu nội bộ và khả năng sẵn sàng của dịch vụ đều bị ảnh hưởng.
Mã lệnh và cấu hình liên quan
# Tệp cấu hình liên quan đến Splunk AI Toolkit
authorize.conf
srchFilter
# Thành phần liên quan đến logging nhạy cảm
_internal
TcpChannel
# Script liên quan đến DoS
coldToFrozen.sh- CVE-2026-20238: Lỗi phân quyền sai trong Splunk AI Toolkit, CVSS 6.5.
- CVE-2026-20239: Lỗi sanitization đầu ra trong
TcpChannel, CVSS 7.5. - CVE-2026-20240: Lỗi kiểm tra đầu vào trong
coldToFrozen.sh, CVSS 7.1.
Việc xử lý đồng thời các lỗ hổng CVE này đòi hỏi kiểm tra phiên bản, áp dụng cập nhật bản vá, và rà soát cấu hình truy cập nội bộ để giảm thiểu nguy cơ bảo mật trên toàn bộ môi trường Splunk.
