网络安全

网络安全

    网络安全

    当前位置: 首页 >> 网络安全 >> 正文

    【漏洞通告】Splunk Enterprise预认证远程代码执行漏洞和Linux Kernel net/sched act_pedit权限提升漏洞

    发布时间:2026-06-23浏览次数:

    一、Splunk  Enterprise  预认证远程代码执行漏洞(CV E-2026-20253 )

    1.漏洞分析

    a)组件介绍

    Splunk  Enterprise  是一款面向机器数据采集、索引、检索与分析的平台,主要用于集中管理日志、事件、指标等运行数据,支持安全监测、运维分析、业务可视化和故障排查等场景,帮助用户从大规模异构数据中提取可检索、可分析的安全与运营信息

    b)漏洞描述

    2026 年6月16日,深瞳漏洞实验室监测到一则 Splunk  Enterpri se 组件存在代码执行漏洞的信息,漏洞编号:CVE-2026-20253 ,漏洞威胁等级:高危。

    Splunk  Enterprise 的 PostgreSQL  Sidecar 恢复机制将本应限定在内部可信流程中的备份、还原能力暴露给未认证请求,使外部输入能够直接进入高权限文件处理链路。攻击者通过操控/v1/postgres/rec overy/backup、/v1/postgres/recovery/restore 等接口中的 backupFile参数,可借助路径遍历将文件创建、覆盖或截断操作引向非预期位置;在特定环境下,还可进一步影响 pg_dump 、pg_restore的连接参数,结合passfile 读取本地 PostgreSQL 凭据,从文件破坏扩展到凭据窃取,并可能形成远程代码执行链,最终接管目标服务器。

    2.影响范围

    目前受影响的 Splunk Enterprise 版本:

    10.2.0 ≤ Splunk Enterprise < 10.2.4

    10.0.0 ≤ Splunk Enterprise < 10.0.7

    3.解决方案

    1)官方修复建议

    目前官方已有可更新版本,建议受影响用户升级至最新版本:Splunk  Enterprise  10.0.*    10.0.7

    Splunk  Enterprise  10.2.*    10.2.4

    Splunk  Enterprise  10.4.*    10.4.0官方下载地址:

    https://www.splunk.com/zh_cn/download.html

    2)临时修复建议

    关闭未使用的功能模块,减少潜在攻击入 口。

    遵循最小权限原则,严控各类敏感操作权限范围。

    非必要不暴露服务到公网,限制访问源为可信范围。

    定期更新系统及各类组件至安全版本,及时修补已知隐患

    二、Linux  Kernel  net/sched  act_pedit  权限提升漏洞(CVE-2026-46331)

    1.漏洞分析

    1)组件介绍

    Linux 内核(Linux  Kernel)是一个开源的操作系统内核,它是 Linux 操作系统的核心组件,负责管理计算机的硬件资源,并提供了许多系统服务,如进程管理、内存管理、文件系统管理和设备驱动程序等。

    2)漏洞描述

    2026 年6月18日,深瞳漏洞实验室监测到一则Linux  Kernel 组件存在权限提升漏洞的信息,漏洞编号:CVE-2026-46331,漏洞威胁等级:高危。

    该漏洞存在于Linux  Kernel网络流量控制子系统net/sched 的act_pedit  处理逻辑中,tcf_pedit_act()在进入pedit  key循环前仅依据tcfp_off_max_hint预先计算一次 skb_ensure_writable()的Copy- on-Write范围,但该估算没有正确纳入typed  key在运行时追加的网络层/传输层头部偏移,也未充分覆盖负偏移等入口侧报文头编辑场景,导致部分实际写入区域仍可能指向未完成COW的共享页;具备本地可达tc  pedit/网络调度配置路径的攻击者可通过构造带特定 offset 的pedit 规则并触发报文处理,使内核在修改 skb 数据时写入共享后备页,从而破坏页缓存一致性,最终造成文件/内存数据完整性破坏或系统可用性影响。

    2.影响范围

    目前受影响的 Linux Kernel 版本: v5.18 ≤ Linux Kernel < v7. 1-rc7

    目前已知受影响发行版本:

    RHEL 10.0(内核 6.12.0-228.el10)

    Debian 13 trixie(内核 6.12.90+deb13. 1) Ubuntu 24.04.4(内核 6.17.0-22

    3.解决方案

    1)官方修复建议

    目前官方已合入针对该问题的修复补丁,建议尽快将 Linux  Kernel升级至已包含修复的版本,或升级至已回补补丁899ee91156e577840 90c5565e4f31bd7dbffbc5a  的发行版内核版本。

    该修复主要调整了 act_pedit  相关写入流程:将 skb_ensure_writable()的调用位置移动到逐 key  处理循环内部,使内核能够在每次实际写入偏移确定后再执行可写性检查与COW处理,避免提前检查导致后续写入范围失控。同时,补丁增加了偏移计算的溢出校验,并针对ingress 场景下可能出现的负偏移写入,例如对 Ethernet  头部区域进行编辑时,通过 skb_cow() 对 headroom 区域执行COW保护,从而修复因 skb 可写范围校验不充分引发的越界写入风险。

    补丁链接:

    https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id =899ee91156e57784090c5565e4f31bd7dbffbc5a

    https://github.com/torvalds/linux/commit/899ee91156e57784090c5565e4 f31bd7dbffbc5a

    2)临时修复建议

    关闭未使用的功能模块,减少潜在攻击入 口。

    遵循最小权限原则,严控各类敏感操作权限范围。

    非必要不暴露服务到公网,限制访问源为可信范围。

    定期更新系统及各类组件至安全版本,及时修补已知隐患