文章总结： Splunk产品曝出高危RCE漏洞CVE-2026-20163，CVSS8.0分。漏洞源于RESTAPI中/splunkd/__upload/indexing/preview端点的unarchive_cmd参数命令注入缺陷。利用需高权账户，成功后可执行任意命令接管服务器。受影响版本包括SplunkEnterprise9.3至10.0.x及部分云平台，建议管理员立即核查并采取应对措施。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,网络安全

Splunk远程代码执行漏洞使系统易受攻击者任意执行shell命令的攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月12日 19:15 北京

Splunk Enterprise 和 Splunk Cloud Platform 中发现了一个高危远程命令执行 (RCE) 漏洞，使系统面临严重的安全风险。

该严重漏洞被官方追踪为 CVE-2026-20163，CVSS 评分为 8.0，它允许恶意攻击者直接在主机操作系统上执行任意 shell 命令。

该漏洞被归类为 CWE-77，它凸显了企业软件中输入中和不当的危险性。

技术利用细节

该漏洞的核心在于平台的 REST API，具体来说，在于该 /splunkd/__upload/indexing/preview 端点。

当用户将文件上传到 Splunk 时，系统会在将这些文件索引到数据库之前对其进行预览。在此预览阶段，软件会使用一个名为 的参数 unarchive_cmd。

由于 Splunk 未能正确清理输入到此参数中的数据，攻击者可以注入隐藏的 shell 命令。

当系统处理文件预览时，会在不知不觉中执行攻击者的恶意指令。

然而，有一个重要的限制因素降低了当前的威胁级别。要成功利用此漏洞，攻击者必须已经拥有具有高权限的用户账户 edit_cmd 。

虽然这意味着普通用户无法触发该漏洞，但如果管理员账户被盗用，则会带来巨大的风险，使攻击者能够从应用程序访问转向完全接管服务器。

此漏洞影响本地部署和云部署的多个版本。系统管理员必须对照以下受影响版本检查当前版本：

• Splunk Enterprise 10.0：版本 10.0.0 至 10.0.3
• Splunk Enterprise 9.4：版本 9.4.0 至 9.4.8
• Splunk Enterprise 9.3：版本 9.3.0 至 9.3.9
• Splunk 云平台：版本低于 10.2.2510.5、10.0.2503.12、10.1.2507.16 和 9.3.2411.24

幸运的是，Splunk Enterprise 10.2 的基础组件不受此特定 REST API 缺陷的影响。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Splunk远程代码执行漏洞使系统易受攻击者任意执行shell命令的攻击》