الوكاد
ثغرة حرجة في Splunk Enterprise تتيح تنفيذ الأكواد عن بُعد دون مصادقة
ثغرات وتحديثاتحرج

ثغرة حرجة في Splunk Enterprise تتيح تنفيذ الأكواد عن بُعد دون مصادقة

The Hacker News2 دقائق قراءة

باختصار

  • ثغرة CVE-2026-20253 بدرجة CVSS تبلغ 9.8 تتيح تنفيذ أكواد عن بُعد دون أي مصادقة في Splunk Enterprise
  • المشكلة تكمن في غياب آليات التحقق من الهوية على نقاط نهاية خدمة PostgreSQL المصاحبة
  • الإصلاح متوفر في الإصدارين 10.0.7 و10.2.4، فيما يظل Splunk Cloud بمنأى عن التأثير
معرّفات الثغرات:CVE-2026-20253

ماذا حدث

أصدرت شركة Splunk، التابعة لمجموعة Cisco، تحديثات أمنية عاجلة لمعالجة ثغرة أمنية حرجة في منتجها Splunk Enterprise، تحمل المعرّف CVE-2026-20253 وتُصنَّف بدرجة خطورة 9.8 وفق نظام تسجيل نقاط الضعف المشترك (CVSS). تُتيح هذه الثغرة لأي مستخدم غير مصادَق عليه يملك وصولاً شبكياً إجراء عمليات على الملفات وصولاً حتى إلى التنفيذ عن بُعد (Remote Code Execution) على الأنظمة المتأثرة.

التفاصيل

يعود جذر الثغرة إلى افتقار نقاط نهاية خدمة PostgreSQL المصاحبة (PostgreSQL sidecar service) لأي ضوابط مصادقة، ما يجعلها في متناول أي جهة يمكنها الوصول إلى الشبكة. تتأثر إصدارات Splunk Enterprise من 10.0.0 حتى 10.0.6 والتي يُعالجها الإصدار 10.0.7، فضلاً عن الإصدارات من 10.2.0 حتى 10.2.3 والتي يُعالجها الإصدار 10.2.4، في حين يبقى الإصدار 10.4 بمنأى عن هذه المشكلة.

وبعد الإعلان عن الثغرة، نشرت شركة watchTowr Labs تحليلاً تقنياً تفصيلياً يكشف عن سلسلة هجومية عبر نقطتَي النهاية "/v1/postgres/recovery/backup" و"/v1/postgres/recovery/restore". تبدأ سلسلة الاستغلال بتوصيل قاعدة بيانات يتحكم فيها المهاجم ثم تفريغ محتوياتها إلى ملف عشوائي على نظام الملفات عبر نقطة النهاية "/backup"، تليها مرحلة تحميل هذا التفريغ في نسخة PostgreSQL المحلية باستخدام نقطة النهاية "/restore" مع تحديد مسار ملف ".pgpass" الذي يحتوي على بيانات اعتماد المستخدم "postgres_admin". بعد ذلك، تُنفَّذ أوامر SQL المضمّنة في تفريغ قاعدة البيانات ضمن بيئة PostgreSQL الخاصة بـ Splunk.

يستطيع المهاجم استغلال دالة "lo_export" لكتابة ملفات خاضعة لسيطرته على النظام، ثم تصعيد الهجوم إلى تنفيذ أكواد عن بُعد عبر الكتابة فوق نصوص Python التي يُشغّلها Splunk بصفة منتظمة، كملف "ssg_enable_modular_input.py"، وتضمين حمولة ضارة فيها. وقد أكد الباحثان بيوتر بازيدلو وياردان غانتشيف من watchTowr Labs نجاح سيناريو الاستغلال الكامل في بيئات الاختبار.

أوضح Splunk أن منصة Splunk Cloud لا تتأثر بهذه الثغرة كون خدمات PostgreSQL المصاحبة غير مستخدمة فيها.

لماذا يهمّك

على الرغم من عدم رصد أي استغلال فعلي في البيئات الإنتاجية حتى الآن، فإن توفّر تفاصيل تقنية دقيقة حول آلية الاستغلال يُعدّ عاملاً كافياً لدفع الجهات التهديدية نحو شنّ هجمات انتهازية (opportunistic attacks). وبما أن Splunk Enterprise يُستخدم على نطاق واسع في مراكز العمليات الأمنية (SOC) وبيئات تحليل البيانات، فإن اختراقه قد يُفضي إلى تداعيات بالغة الخطورة على أمن المؤسسات.

توصيات

يُنصح المؤسسات المتأثرة باتخاذ الإجراءات الآتية فوراً:

  • ترقية Splunk Enterprise إلى الإصدار 10.0.7 أو 10.2.4 حسب الإصدار المستخدم.
  • تقييد الوصول الشبكي إلى نقاط نهاية خدمة PostgreSQL المصاحبة ريثما يُطبَّق التحديث.
  • مراقبة السجلات بحثاً عن أي طلبات غير معتادة على مسارات النهايات المذكورة.
  • التحقق من سلامة ملفات Python الحساسة في بيئة Splunk للكشف عن أي تعديلات غير مصرح بها.
#Splunk#Splunk Enterprise#PostgreSQL#RCE#ثغرة حرجة#Cisco#watchTowr Labs#CVSS 9.8

مقالات ذات صلة