Skip to content
Security English

ثغرة حرجة في Splunk Enterprise: تنفيذ كود عن بُعد دون مصادقة عبر PostgreSQL

The Hacker News · خبر 4 من 6

أصدرت Splunk تصحيحاً للثغرة CVE-2026-20253، وهي ثغرة حرجة لتنفيذ كود عن بُعد دون مصادقة في خدمة PostgreSQL الفرعية لـ Splunk Enterprise. حصلت على ٩٫٨ في مقياس CVSS، وتُؤثر على إصدارات Splunk Enterprise قبل 10.0.7 و 10.2.4.

سلسلة الثغرة خطيرة بشكل خاص لأنها لا تتطلب مصادقة. تفتقر نقطة خدمة PostgreSQL الفرعية إلى ضوابط وصول مناسبة، مما يسمح لأي مهاجم بالشبكة بتنفيذ عمليات ملفات دون بيانات اعتماد. أثبت باحثون في watchTowr Labs أن هذا يمكن ربطه بتنفيذ كود كامل عن بُعد.

إضافة لتنفيذ الكود، تُتيح الثغرة اقتطاع الملفات — مما يسمح للمهاجمين بمسح فهارس Splunk وملفات التكوين أو بيانات السجل. للمنظمات التي تعتمد على Splunk كعمود فقري لإدارة الأمن والمعلومات، هذا يعني أن المهاجم يمكنه ليس فقط السيطرة على النظام بل أيضاً تدمير الأدلة الجنائية اللازمة للتحقيق.

كُشفت الثغرة إلى جانب ثلاث ثغرات عالية الخطورة إضافية تُؤثر على Splunk Enterprise و Splunk Cloud Platform وتطبيق Splunk Secure Gateway. يجب على المنظمات التي تستخدم Splunk Enterprise محلياً التصحيح فوراً ومراجعة تكوينات PostgreSQL الفرعية.

هذا الكشف يُؤكد نمطاً أوسع في أمن المؤسسات: أكثر الثغرات ضرراً توجد بشكل متزايد في الخدمات المساعدة والمكونات الفرعية وليس في الكود الأساسي للتطبيقات.

تحليل
نشط

تنفيذ كود عن بُعد دون مصادقة في نظام SIEM الخاص بك هو كابوس كل مدير أمن معلومات — المهاجم لا يخترق أداة الأمن فقط بل يمكنه مسح الأدلة. للمنظمات في المنطقة التي تستخدم Splunk قديم محلياً، هذه هي اللحظة للتصحيح فوراً أو تسريع الانتقال إلى بدائل مُدارة.

أسئلة شائعة
هل Splunk Cloud متأثرة بـ CVE-2026-20253؟

لا. منصة Splunk Cloud غير متأثرة. فقط إصدارات Splunk Enterprise أقل من 10.0.7 و 10.2.4 التي تعمل محلياً هي المُعرضة للخطر.