漏洞概述Splunk发布紧急安全公告警告用户其Enterprise和Cloud平台存在一个高危漏洞CVE-2026-20163CVSS评分为8.0。该漏洞允许攻击者在目标系统上执行远程命令RCE。漏洞成因漏洞源于系统在索引上传文件前的预览阶段对用户输入处理不当。虽然攻击者需要具备高级权限才能利用此漏洞但一旦成功利用恶意用户将能控制底层主机服务器。该漏洞被归类为CWE-77命令中特殊元素的不当中和存在于Splunk的REST API组件中具体涉及/splunkd/__upload/indexing/preview端点。攻击者必须拥有包含edit_cmd高级权限的用户角色才能利用此漏洞。攻击原理满足条件后攻击者可在文件上传预览过程中操纵unarchive_cmd参数。由于系统未能正确清理该输入攻击者可轻易注入并直接在服务器上执行任意Shell命令。受影响版本该漏洞由安全研究员Danylo DmytriievDDV_UA与Splunk内部团队成员Gabriel Nitu和James Ervin共同发现并报告。受影响版本包括Enterprise10.0.0–10.0.3、9.4.0–9.4.8、9.3.0–9.3.9Cloud Platform低于10.2.2510.5、10.1.2507.16、10.0.2503.12和9.3.2411.124的版本Splunk Enterprise 10.2基础版本不受影响。Splunk正在主动监控并向受影响的Cloud Platform实例直接部署补丁。修复建议Splunk强烈建议立即通过更新或临时缓解措施解决此漏洞升级Splunk Enterprise管理员应将安装更新至10.2.0、10.0.4、9.4.9、9.3.10或更高版本实施临时措施若无法立即升级可从所有用户角色中完全移除edit_cmd高级权限通过拒绝执行恶意命令所需的权限来阻断攻击链目前该漏洞尚无特定的威胁检测签名因此主动打补丁和严格的权限管理至关重要。