Splunk đã phát hành các bản cập nhật bảo mật để khắc phục nhiều lỗ hổng CVE nghiêm trọng trong Splunk Enterprise và Splunk Cloud Platform. Những lỗ hổng này có thể dẫn đến các vấn đề như path traversal, lộ lọt các hash mật khẩu được lưu trữ và thực thi tùy ý các câu lệnh SPL (Search Processing Language).
Ba Lỗ Hổng Bảo Mật Chính Trong Splunk
Ba lỗ hổng bảo mật ảnh hưởng đến cả Splunk Enterprise và Splunk Cloud Platform đã được vá. Các vấn đề này tác động đến thành phần REST API và Splunk Web, có khả năng cho phép người dùng được xác thực hoặc kẻ tấn công thông qua phishing truy cập dữ liệu nhạy cảm, ghi tệp vào các thư mục không mong muốn hoặc thực thi các truy vấn tùy ý.
CVE-2026-20296: Thực Thi Lệnh SPL Tùy Ý
Lỗ hổng nghiêm trọng nhất, được theo dõi là CVE-2026-20296 (SVD-2026-0702), có điểm CVSS là 8.3. Lỗ hổng này ảnh hưởng đến thành phần Deployment Server trong Splunk Web. Một kẻ tấn công chưa được xác thực có thể khai thác lỗ hổng này bằng cách lừa người dùng có quyền list_deployment_server mở một liên kết hoặc trang web độc hại.
Cuộc tấn công này tận dụng việc thiếu xác thực CSRF (Cross-Site Request Forgery) trên các yêu cầu GET và xử lý đầu vào do người dùng kiểm soát không đầy đủ trong các câu lệnh SPL. Nếu khai thác thành công, kẻ tấn công có thể thực thi các câu lệnh SPL tùy ý dưới quyền splunk-system-user, tiềm ẩn nguy cơ làm lộ dữ liệu được lập chỉ mục và thông tin xác thực đã lưu trữ. Tuy nhiên, việc khai thác này đòi hỏi sự tương tác của người dùng, do đó kẻ tấn công không thể kích hoạt vấn đề từ xa mà không cần thực hiện phishing trước với mục tiêu.
CVE-2026-20297: Lỗ Hổng Path Traversal
Bên cạnh đó, CVE-2026-20297 (SVD-2026-0703) là một lỗ hổng path traversal nghiêm trọng với điểm CVSS là 7.2. Lỗ hổng này tồn tại trong điểm cuối REST App Install và liên quan đến tham số explicit_appname. Một người dùng có cả hai quyền edit_local_apps và install_apps có thể khai thác lỗ hổng này trong quá trình cài đặt ứng dụng hợp lệ.
Quy trình làm việc bị tấn công có thể cho phép ghi tệp ra bên ngoài thư mục ứng dụng dự kiến và vào thư mục $SPLUNK_HOME/etc/ hoặc các thư mục con của nó. Điều này có thể ảnh hưởng đến cấu hình ứng dụng và các tệp Splunk nhạy cảm khác. Việc vá lỗ hổng này là cực kỳ quan trọng để đảm bảo tính toàn vẹn của hệ thống.
CVE-2026-20298: Lộ Thông Tin Xác Thực
Cuối cùng, CVE-2026-20298 (SVD-2026-0704) là một lỗ hổng tiết lộ thông tin ở mức độ trung bình với điểm số 5.3. Một người dùng có đặc quyền thấp, không có vai trò quản trị hoặc quyền lực, có thể truy cập điểm cuối REST /servicesNS/-/-/storage/passwords thông qua lệnh SPL | rest. Điểm cuối này có thể trả về trường encr_password, làm lộ các hash mật khẩu đã lưu trữ cho người dùng không được phép.
Mặc dù lỗ hổng này yêu cầu xác thực và có độ phức tạp tấn công cao, nhưng các hash bị lộ có thể tạo điều kiện cho các nỗ lực bẻ khóa mật khẩu ngoại tuyến hoặc các vụ xâm nhập sâu hơn. Việc hiểu rõ cách thức các mối đe dọa này hoạt động là rất quan trọng.
Các Phiên Bản Bị Ảnh Hưởng và Khuyến Nghị Cập Nhật
Người dùng Splunk Enterprise được khuyến nghị nâng cấp lên các phiên bản đã khắc phục sau: 10.4.1, 10.2.5, 10.0.8, 9.4.13 hoặc mới hơn. Lỗ hổng path traversal cũng ảnh hưởng đến nhánh 9.3, yêu cầu phiên bản 9.3.14.
Đối với CVE-2026-20298, quản trị viên phải cấu hình limits.conf với mask_encr_password = true dưới mục [storage_passwords_masking], sau đó khởi động lại Splunk Enterprise. Việc cập nhật bản vá kịp thời là biện pháp phòng ngừa hiệu quả.
Khách hàng sử dụng Splunk Cloud Platform đang được Splunk vá và giám sát. Đối với CVE-2026-20296, các tổ chức không thể cập nhật ngay lập tức có thể giảm thiểu rủi ro bằng cách vô hiệu hóa Splunk Web ở những nơi không cần thiết. Tăng cường an ninh mạng là ưu tiên hàng đầu.
Để có thêm thông tin chi tiết về các lỗ hổng bảo mật và cách phòng chống, vui lòng tham khảo các nguồn sau:
- Splunk Security Advisory: SVD-2026-0702
- Splunk Security Advisory: SVD-2026-0703
- Splunk Security Advisory: SVD-2026-0704
- NVD NIST: CVE-2026-20296










