watchtowrlabs/watchTowr-vs-Splunk-CVE-2026-20253
GitHub: watchtowrlabs/watchTowr-vs-Splunk-CVE-2026-20253
针对 Splunk Enterprise CVE-2026-20253 预认证远程代码执行漏洞的无损检测脚本,通过探测 PostgreSQL Sidecar Service 端点判断目标是否受影响。
Stars: 10 | Forks: 1
# CVE-2026-20253 Splunk Pre-Auth RCE
Splunk Pre-Auth RCE 1day 检测工具生成器
# 检测演示
检测工具生成器会尝试访问 PostgreSQL Sidecar Service 的 `/v1/postgres/recovery/backup` endpoint,以验证其是否可访问:
* 400 响应 - 可能存在漏洞
* 401 响应 - 可能不存在漏洞
* 任何其他响应 - 未安装 PostgreSQL Sidecar Service(不存在漏洞)或某些因素影响了响应,请手动验证
脚本已在以下环境测试:
* Linux 上的 Splunk Enterprise 10.2.3(存在漏洞)
* Linux 上的 Splunk Enterprise 10.2.4(不存在漏洞)
一些较早的版本(如 Splunk 9)未经测试。
此漏洞在被完全利用时会导致 Pre-Auth RCE。此脚本不会执行任何漏洞利用尝试。
您需要提供以下输入参数:
* `-H` - 目标主机。
* `-r` - 您的 Splunk 安装的区域(出现在 URL 中),例如:`en-US`。
针对存在漏洞实例的运行示例:
```
$ python3 watchTowr-vs-Splunk-RCE-CVE-2026-20253.py -H http://vulnerable.splunk.lab:8000 -r en-US
__ ___ ___________
__ _ ______ _/ |__ ____ | |_\__ ____\____ _ ________
\ \/ \/ \__ \ ___/ ___\| | \| | / _ \ \/ \/ \_ __ \
\ / / __ \| | \ \___| Y | |( <_> \ / | | \/
\/\_/ (____ |__| \___ |___|__|__ | \__ / \/\_/ |__|
\/ \/ \/
watchTowr-vs-Splunk-CVE-2026-20253.py
(*) CVE-2026-20253 Splunk PostgreSQL Sidecar Service Detection Artifact Generator
- Piotr (@chudyPB) of watchTowr (@watchTowrcyber)
[+] VULNERABLE - access to /v1/postgres/recovery/backup not blocked
```
针对已修复实例的运行示例:
```
$ python3 watchTowr-vs-Splunk-RCE-CVE-2026-20253.py -H http://not.vulnerable.splunk.lab:8000 -r en-US
__ ___ ___________
__ _ ______ _/ |__ ____ | |_\__ ____\____ _ ________
\ \/ \/ \__ \ ___/ ___\| | \| | / _ \ \/ \/ \_ __ \
\ / / __ \| | \ \___| Y | |( <_> \ / | | \/
\/\_/ (____ |__| \___ |___|__|__ | \__ / \/\_/ |__|
\/ \/ \/
watchTowr-vs-Splunk-CVE-2026-20253.py
(*) CVE-2026-20253 Splunk PostgreSQL Sidecar Service Detection Artifact Generator
- Piotr (@chudyPB) of watchTowr (@watchTowrcyber)
[-] NOT VULNERABLE - access to /v1/postgres/recovery/backup blocked
```
# 描述
此脚本尝试检测 Splunk 是否容易受到 CVE-2026-20253 Pre-Auth RCE 的攻击。
# 受影响版本
根据[厂商安全公告](https://advisory.splunk.com/advisories/SVD-2026-0603):
* Splunk Enterprise 10.4.0 - 不受影响
* Splunk Enterprise 10.2.4 - 不受影响
* Splunk Enterprise 10.0.7 - 不受影响
* Splunk Enterprise 10.2.0 至 10.2.3 - 受影响
* Splunk Enterprise 10.0.0 至 10.0.6 - 受影响
# 关注 [watchTowr](https://watchTowr.com) Labs
如需获取最新的安全研究,请关注 [watchTowr](https://watchTowr.com) Labs 团队
- https://labs.watchtowr.com/
- https://x.com/watchtowrcyber
标签:Maven, Python, 插件系统, 无后门, 漏洞验证, 逆向工具