一、Splunk Enterprise 预认证远程代码执行漏洞(CV E-2026-20253 )
1.漏洞分析
a)组件介绍
Splunk Enterprise 是一款面向机器数据采集、索引、检索与分析的平台,主要用于集中管理日志、事件、指标等运行数据,支持安全监测、运维分析、业务可视化和故障排查等场景,帮助用户从大规模异构数据中提取可检索、可分析的安全与运营信息。
b)漏洞描述
2026 年6月16日,深瞳漏洞实验室监测到一则 Splunk Enterpri se 组件存在代码执行漏洞的信息,漏洞编号:CVE-2026-20253 ,漏洞威胁等级:高危。
Splunk Enterprise 的 PostgreSQL Sidecar 恢复机制将本应限定在内部可信流程中的备份、还原能力暴露给未认证请求,使外部输入能够直接进入高权限文件处理链路。攻击者通过操控/v1/postgres/rec overy/backup、/v1/postgres/recovery/restore 等接口中的 backupFile参数,可借助路径遍历将文件创建、覆盖或截断操作引向非预期位置;在特定环境下,还可进一步影响 pg_dump 、pg_restore的连接参数,结合passfile 读取本地 PostgreSQL 凭据,从文件破坏扩展到凭据窃取,并可能形成远程代码执行链,最终接管目标服务器。
2.影响范围
目前受影响的 Splunk Enterprise 版本:
10.2.0 ≤ Splunk Enterprise < 10.2.4
10.0.0 ≤ Splunk Enterprise < 10.0.7
3.解决方案
1)官方修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:Splunk Enterprise 10.0.* ≥ 10.0.7
Splunk Enterprise 10.2.* ≥ 10.2.4
Splunk Enterprise 10.4.* ≥ 10.4.0官方下载地址:
https://www.splunk.com/zh_cn/download.html
2)临时修复建议
关闭未使用的功能模块,减少潜在攻击入 口。
遵循最小权限原则,严控各类敏感操作权限范围。
非必要不暴露服务到公网,限制访问源为可信范围。
定期更新系统及各类组件至安全版本,及时修补已知隐患。
二、Linux Kernel net/sched act_pedit 权限提升漏洞(CVE-2026-46331)
1.漏洞分析
1)组件介绍
Linux 内核(Linux Kernel)是一个开源的操作系统内核,它是 Linux 操作系统的核心组件,负责管理计算机的硬件资源,并提供了许多系统服务,如进程管理、内存管理、文件系统管理和设备驱动程序等。
2)漏洞描述
2026 年6月18日,深瞳漏洞实验室监测到一则Linux Kernel 组件存在权限提升漏洞的信息,漏洞编号:CVE-2026-46331,漏洞威胁等级:高危。
该漏洞存在于Linux Kernel网络流量控制子系统net/sched 的act_pedit 处理逻辑中,tcf_pedit_act()在进入pedit key循环前仅依据tcfp_off_max_hint预先计算一次 skb_ensure_writable()的Copy- on-Write范围,但该估算没有正确纳入typed key在运行时追加的网络层/传输层头部偏移,也未充分覆盖负偏移等入口侧报文头编辑场景,导致部分实际写入区域仍可能指向未完成COW的共享页;具备本地可达tc pedit/网络调度配置路径的攻击者可通过构造带特定 offset 的pedit 规则并触发报文处理,使内核在修改 skb 数据时写入共享后备页,从而破坏页缓存一致性,最终造成文件/内存数据完整性破坏或系统可用性影响。
2.影响范围
目前受影响的 Linux Kernel 版本: v5.18 ≤ Linux Kernel < v7. 1-rc7
目前已知受影响发行版本:
RHEL 10.0(内核 6.12.0-228.el10)
Debian 13 trixie(内核 6.12.90+deb13. 1) Ubuntu 24.04.4(内核 6.17.0-22)
3.解决方案
1)官方修复建议
目前官方已合入针对该问题的修复补丁,建议尽快将 Linux Kernel升级至已包含修复的版本,或升级至已回补补丁899ee91156e577840 90c5565e4f31bd7dbffbc5a 的发行版内核版本。
该修复主要调整了 act_pedit 相关写入流程:将 skb_ensure_writable()的调用位置移动到逐 key 处理循环内部,使内核能够在每次实际写入偏移确定后再执行可写性检查与COW处理,避免提前检查导致后续写入范围失控。同时,补丁增加了偏移计算的溢出校验,并针对ingress 场景下可能出现的负偏移写入,例如对 Ethernet 头部区域进行编辑时,通过 skb_cow() 对 headroom 区域执行COW保护,从而修复因 skb 可写范围校验不充分引发的越界写入风险。
补丁链接:
https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id =899ee91156e57784090c5565e4f31bd7dbffbc5a
https://github.com/torvalds/linux/commit/899ee91156e57784090c5565e4 f31bd7dbffbc5a。
2)临时修复建议
关闭未使用的功能模块,减少潜在攻击入 口。
遵循最小权限原则,严控各类敏感操作权限范围。
非必要不暴露服务到公网,限制访问源为可信范围。
定期更新系统及各类组件至安全版本,及时修补已知隐患。