Splunk vá hai lỗ hổng nghiêm trọng trong Enterprise, Cloud Platform và MCP Server App
Splunk vừa công bố và phát hành bản vá cho hai lỗ hổng bảo mật mức độ cao, ảnh hưởng đến Splunk Enterprise, Splunk Cloud Platform và ứng dụng Splunk MCP Server. Lỗ hổng nghiêm trọng nhất — CVE-2026-20204 — cho phép người dùng có đặc quyền thấp thực thi mã từ xa (RCE) thông qua cơ chế xử lý file tạm thời không an toàn trong Splunk Web. Lỗ hổng thứ hai — CVE-2026-20205 — tồn tại trong ứng dụng MCP Server, cho phép lộ session token và authorization token của người dùng dưới dạng văn bản rõ (clear text) trong file log nội bộ. Splunk xác nhận chưa phát hiện dấu hiệu khai thác nào trên thực tế tính đến thời điểm công bố.
Thông tin chi tiết
| Định danh lỗ hổng | CVE-2026-20204 | CVE-2026-20205 |
|---|---|---|
| Điểm CVSS (3.1) | 7.1 | 7.2 |
| Mức độ nghiêm trọng | HIGH - Nghiêm trọng cao | HIGH - Nghiêm trọng cao |
| Mô tả tóm tắt | Lỗ hổng xử lý file tạm thời không an toàn (CWE-377) trong thư mục apptemp của Splunk Web, cho phép người dùng có đặc quyền thấp tải lên file độc hại và thực thi mã từ xa | Lỗ hổng ghi thông tin nhạy cảm vào file log (CWE-532) trong ứng dụng MCP Server, cho phép người dùng có quyền truy cập index internal hoặc năng lực mcptool_admin xem session token và authorization token của các người dùng khác dưới dạng văn bản rõ |
| Phiên bản bị ảnh hưởng | Splunk Enterprise, Splunk Cloud Platform | Splunk MCP Server app dưới 1.0.3 |
Splunk Enterprise và Splunk Cloud Platform là nền tảng SIEM (Security Information and Event Management) và phân tích dữ liệu IT được triển khai rộng rãi trong các tổ chức doanh nghiệp để giám sát bảo mật, vận hành hệ thống và phân tích log. Vai trò trung tâm của Splunk trong hạ tầng bảo mật khiến các lỗ hổng trên nền tảng này trở nên đặc biệt nhạy cảm: một cuộc tấn công thành công không chỉ ảnh hưởng đến bản thân Splunk mà còn có thể làm tê liệt toàn bộ khả năng giám sát và phát hiện mối đe dọa của tổ chức.
CVE-2026-20204 tồn tại trong cách Splunk Web xử lý file tạm thời trong thư mục $SPLUNK_HOME/var/run/splunk/apptemp. Cụ thể, các file được tải lên thư mục này không được cô lập đúng cách — hệ thống không áp đặt các ràng buộc cần thiết để ngăn file tạm thời bị xử lý theo cách ngoài ý muốn. Điểm đặc biệt đáng lo ngại là không cần đặc quyền cao để khai thác: bất kỳ người dùng đã xác thực nào không giữ role admin hoặc power đều có thể khai thác lỗ hổng này. Trình tự tấn công diễn ra như sau: kẻ tấn công tải lên một file được crafted đặc biệt vào thư mục apptemp dễ bị tổn thương, sau đó kích hoạt Splunk xử lý file này, dẫn đến thực thi mã tùy ý trong ngữ cảnh của tiến trình Splunk. Lỗ hổng chỉ có thể khai thác khi Splunk Web đang được bật trên hệ thống — đây cũng là cơ sở cho biện pháp workaround tạm thời.
Hệ quả tiềm tàng của CVE-2026-20204 rất nghiêm trọng: kẻ tấn công có thể thực thi lệnh ở cấp độ hệ điều hành, từ đó đánh cắp dữ liệu, di chuyển ngang trong mạng nội bộ, hoặc làm gián đoạn toàn bộ năng lực giám sát bảo mật của tổ chức. Trong các môi trường mà Splunk đóng vai trò là hệ thống giám sát trung tâm, điều này đồng nghĩa với kẻ tấn công có thể xóa dấu vết hoạt động của mình và hoạt động ẩn mình trong thời gian dài mà không bị phát hiện.
CVE-2026-20205 ảnh hưởng đến ứng dụng Splunk MCP Server — thành phần cho phép tích hợp Splunk với các AI agent thông qua Model Context Protocol. Lỗ hổng xuất phát từ việc ứng dụng này ghi session token và authorization token của người dùng dưới dạng văn bản rõ vào file log nội bộ (index _internal). Người dùng có quyền truy cập index _internal hoặc năng lực mcp_tool_admin có thể truy xuất các token này và sử dụng chúng để mạo danh người dùng khác, leo thang đặc quyền, hoặc truy cập trái phép vào các tài nguyên được bảo vệ trong hệ sinh thái Splunk.
Mặc dù CVE-2026-20205 yêu cầu đặc quyền cao hơn CVE-2026-20204, lỗ hổng vẫn đặt ra rủi ro đáng kể trong các môi trường mà quyền truy cập vào index _internal được cấp phát rộng rãi vì lý do vận hành, hoặc trong các kịch bản tài khoản quản trị viên bị xâm phạm. Kẻ tấn công khai thác thành công CVE-2026-20205 có thể tạo ra hiệu ứng leo thang đặc quyền dây chuyền: thu thập token của nhiều phiên người dùng, từ đó dần dần mở rộng phạm vi truy cập trong toàn bộ hệ thống Splunk và các hệ thống liên kết.
Khuyến nghị & Khắc phục
Đội ngũ FPT Threat Intelligence khuyến nghị người dùng và quản trị viên thực hiện ngay các bước sau:
Ưu tiên cập nhật Splunk Enterprise lên các phiên bản đã vá: 10.2.1, 10.0.5, 9.4.10, hoặc 9.3.11 trở lên để khắc phục CVE-2026-20204. Cập nhật ứng dụng Splunk MCP Server app lên phiên bản 1.0.3 hoặc cao hơn để giải quyết CVE-2026-20205.
Nếu chưa thể cập nhật ngay để giảm thiểu CVE-2026-20204: tắt Splunk Web bằng cách chỉnh sửa file cấu hình web.conf. Biện pháp này loại bỏ hoàn toàn bề mặt tấn công của lỗ hổng cho đến khi bản vá chính thức được áp dụng.
Để giảm thiểu CVE-2026-20205: rà soát và hạn chế quyền truy cập
index _internalchỉ cho các role quản trị thực sự cần thiết; hạn chế số lượng tài khoản được cấp năng lựcmcp_tool_admin; xem xét xoay vòng (rotate) các token hiện có nếu nghi ngờ đã bị lộ.Giám sát file system trong thư mục
$SPLUNK_HOME/var/run/splunk/apptempđể phát hiện các file đáng ngờ được tạo bởi tài khoản không phảiadmin/power.Rà soát Splunk audit log để tìm các sự kiện upload file từ tài khoản có đặc quyền thấp, đặc biệt các tài khoản tiếp theo có hoạt động thực thi bất thường.
Triển khai File Integrity Monitoring (FIM) trên thư mục cài đặt Splunk để phát hiện sớm các thay đổi trái phép.
