米 CISA は Splunk Enterprise の重大脆弱性 CVE-2026-20253 を Known Exploited Vulnerabilities (KEV) カタログに追加し、米連邦政府の Federal Civilian Executive Branch (FCEB) 機関に対し 6 月 21 日 (日) までの修正を命令しました。同脆弱性は Splunk として KEV 入り初の事例で、6 月 12 日の PoC 公開から実環境での悪用が確認されるまで 1 週間未満でした。

主なポイント

  • 脆弱性は PostgreSQL サイドカーサービスのエンドポイントが認証を欠く CWE-306 で、未認証リモート攻撃者が任意ファイル作成・切詰めから RCE まで到達可能
  • 影響範囲は Splunk Enterprise 10.2 系の 10.2.4 未満および 10.0 系の 10.0.7 未満。10.2.4 / 10.0.7 で修正済
  • CISA は Binding Operational Directive (BOD) 26-04 を発動し、クラウドホスト版を含む適用期限を 6 月 21 日と明示
  • Splunk は同日付でアドバイザリを更新し「限定的な実環境悪用」を認知。SIEM 基盤としての性質上、侵害時の影響範囲は資格情報・監査ログまで及ぶおそれ
  • 連邦機関以外の Splunk 利用組織も BOD 期限と同じスケジュールでの即時パッチ適用が推奨される

出典: CISA: Splunk Enterprise flaw actively exploited, patch by Sunday