| Title | SplunkのSplunk等の複数製品における入力確認に関する脆弱性 |
|---|---|
| Summary | Splunk Enterpriseのバージョン10.2.4未満、10.0.7未満、9.4.12未満、9.3.13未満、およびSplunk Cloud Platformのバージョン10.3.2512.13未満、10.2.2510.15未満、10.1.2507.23未満、9.3.2411.132未満において、「admin」または「power」Splunkロールを持たない権限の低いユーザーが悪意のあるクラシックダッシュボードを作成し、高権限ユーザーがそれを閲覧した場合、Cascading Style Sheets(CSS)インジェクションを通じて外部コンテンツ制限を回避し、機密データを外部サーバーに送信することが可能です。Trusted Domainsのセキュリティチェックはインラインスタイル属性の値を完全に検証しておらず、被害者が細工されたダッシュボードを閲覧すると、信頼されていないドメインへのアウトバウンドリクエストや資格情報の流出が許される可能性があります。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 10, 2026, midnight |
| Registration Date | June 16, 2026, 1:39 p.m. |
| Last Update | June 16, 2026, 1:39 p.m. |
| CVSS3.0 : 警告 | |
| Score | 5.7 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
| Splunk |
| Splunk 10.0.0 以上 10.0.7 未満 |
| Splunk 10.2.0 以上 10.2.4 未満 |
| Splunk 9.3.0 以上 9.3.13 未満 |
| Splunk 9.4.0 以上 9.4.12 未満 |
| splunk cloud platform 10.1.2507 以上 10.1.2507.23 未満 |
| splunk cloud platform 10.2.2510 以上 10.2.2510.15 未満 |
| splunk cloud platform 10.3.2512 以上 10.3.2512.13 未満 |
| splunk cloud platform 9.3.2411 以上 9.3.2411.132 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月16日] 掲載 |
June 16, 2026, 1:39 p.m. |
| Summary | In Splunk Enterprise versions below 10.2.4, 10.0.7, 9.4.12, and 9.3.13, and Splunk Cloud Platform versions below 10.3.2512.13, 10.2.2510.15, 10.1.2507.23, and 9.3.2411.132, a low-privileged user that does not hold the 'admin' or 'power' Splunk roles could craft a malicious classic dashboard that exfiltrates sensitive data to an external server when a higher-privileged user views it, bypassing the external content restriction through a Cascading Style Sheets (CSS) injection.<br><br>The Trusted Domains security check does not fully validate inline style attribute values, which can allow for outbound requests to untrusted domains and credential exfiltration when a victim views a crafted dashboard. |
|---|---|
| Publication Date | June 11, 2026, 3:16 a.m. |
| Registration Date | June 11, 2026, 4:18 a.m. |
| Last Update | June 16, 2026, 12:05 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:splunk:splunk:*:*:*:*:enterprise:*:*:* | 9.3.0 | 9.3.13 | |||
| cpe:2.3:a:splunk:splunk:*:*:*:*:enterprise:*:*:* | 9.4.0 | 9.4.12 | |||
| cpe:2.3:a:splunk:splunk:*:*:*:*:enterprise:*:*:* | 10.0.0 | 10.0.7 | |||
| cpe:2.3:a:splunk:splunk:*:*:*:*:enterprise:*:*:* | 10.2.0 | 10.2.4 | |||
| cpe:2.3:a:splunk:splunk_cloud_platform:*:*:*:*:*:*:*:* | 9.3.2411 | 9.3.2411.132 | |||
| cpe:2.3:a:splunk:splunk_cloud_platform:*:*:*:*:*:*:*:* | 10.1.2507 | 10.1.2507.23 | |||
| cpe:2.3:a:splunk:splunk_cloud_platform:*:*:*:*:*:*:*:* | 10.2.2510 | 10.2.2510.15 | |||
| cpe:2.3:a:splunk:splunk_cloud_platform:*:*:*:*:*:*:*:* | 10.3.2512 | 10.3.2512.13 | |||