أصدرت شركة Splunk تحديثات أمنية عاجلة لمعالجة ثغرة أمنية حرجة في منصة Splunk Enterprise، تحمل المعرف CVE-2026-20253. وتكمن خطورة هذه الثغرة في سماحها لمهاجم غير موثق بتنفيذ عمليات على الملفات، الأمر الذي قد يتطور إلى تنفيذ تعليمات برمجية عن بُعد (RCE) على الأنظمة المصابة. ونظراً لإمكانية استغلال الثغرة عبر الشبكة دون الحاجة إلى صلاحيات مسبقة أو تفاعل من المستخدم، فقد صنفتها Splunk بدرجة خطورة بلغت 9.8 وفقاً لمعيار CVSSv3.1.
ووفقاً للنشرة الأمنية التي أصدرتها Splunk في 10 يونيو 2026 وحدّثتها في 12 يونيو، فإن الخلل يؤثر في إصدارات Splunk Enterprise الأقدم من 10.2.4 و10.0.7. ويعود سبب هذا الخلل إلى غياب ضوابط المصادقة عن النقطة الطرفية الخاصة بخدمة PostgreSQL Sidecar، ما يتيح لأي مستخدم يمتلك وصولاً شبكياً استدعاء عمليات على الملفات، أو إنشاء ملفات عشوائية وتفريغ محتواها دون الحاجة لتقديم بيانات اعتماد.
وتشمل قائمة الإصدارات المتأثرة والنسخ الآمنة ما يلي:
- Splunk Enterprise من الإصدار 10.0.0 حتى 10.0.6: تم علاجها في الإصدار 10.0.7.
- Splunk Enterprise من الإصدار 10.2.0 حتى 10.2.3: تم علاجها في الإصدار 10.2.4.
- Splunk Enterprise 10.4: غير متأثر بالثغرة بناء على النشرة الرسمية.
- Splunk Cloud Platform: غير متأثر بالثغرة نظراً لعدم استخدام خدمة PostgreSQL Sidecar فيه.
وفي سياق متصل، نشرت watchTowr Labs تحليلاً تقنياً في 12 يونيو كشفت فيه أن أثر الخلل يتجاوز مجرد التعامل مع الملفات؛ حيث يمكن دمج نقطتي النهاية /v1/postgres/recovery/backup و/v1/postgres/recovery/restore ضمن سلسلة هجوم تؤدي إلى تنفيذ تعليمات برمجية قبل مرحلة المصادقة في بعض البيئات المعرضة.
ويعتمد مسار الاستغلال، بحسب الباحثين بيوتر بازيدلو ويوردان غانتشيف، على إجبار الخدمة على الاتصال بقاعدة بيانات يسيطر عليها المهاجم، ثم كتابة محتوى مخصص في نظام ملفات Splunk. عقب ذلك، تستخدم عملية الاستعادة لتنفيذ أوامر SQL تنتهي بتعديل ملف Python تنفذه Splunk دورياً، يسمح بالانتقال من مرحلة الكتابة العشوائية للملفات إلى التنفيذ الكامل للتعليمات البرمجية عن بُعد.
كما نبه التحليل إلى أن مستوى التعرض للثغرة يتباين تبعاً لنمط النشر والتثبيت؛ فخدمة PostgreSQL Sidecar غبر مثبتة افتراضياً في بعض عمليات التثبيت المحلية على أنظمة Windows، أو قد تكون مثبتة ولكنها غير مفعلة. وفي المقابل، فإنها تكون مثبتة ومفعلة افتراضياً في بيئات Splunk Enterprise المنشورة على منصة AWS، ما يفرض على المؤسسات تقييم طبيعة بيئتها التقنية كخطوة أساسية تزامناً مع إطلاق التحديثات.
وعلى الرغم من عدم رصد أي استغلال فعلي للثغرة في هجمات سيبرانية حتى الآن، إلا أن نشر التفاصيل التقنية لآلية الاستغلال يرفع من احتمالية حدوث محاولات اختراق انتهازية، لا سيما في البيئات التي تتيح الوصول الشبكي المباشر لخدمات Splunk المتأثرة.
وتوصي شركة Splunk بالترقية الفورية إلى الإصدارات Splunk Enterprise 10.4.0 أو 10.2.4 أو 10.0.7 أو أي إصدار أحدث. ولم تتضمن النشرة الرسمية أي حلول بديلة مؤقتة أو آليات كشف محددة، مما يجعل التحديث المباشر ومراجعة نطاق التعرض الشبكي الأولوية القصوى لفرق الأمن السيبراني وإدارة العمليات.
