漏洞关键信息 概览 漏洞类型: Client-Side Denial of Service (DoS) CVE ID: CVE-2026-20139 严重性: CVSSv3.1 Score: 4.3, Medium 影响范围: Splunk Enterprise 和 Splunk Cloud Platform 的特定版本 描述 在 Splunk Enterprise 版本低于 10.2.0、10.0.2、9.4.8、9.3.9、9.2.12,以及 Splunk Cloud Platform 版本低于 10.2.2510.3、10.1.2507.8、10.0.2503.9 和 9.3.2411.121 中,非特权用户可以将恶意负载注入 REST API 端点的 、 或 参数中,从而导致客户端拒绝服务 (DoS)。 解决方案 升级 Splunk Enterprise 到版本 10.2.0、10.0.2、9.4.8、9.3.9、9.2.12 或更高版本。 Splunk 正在积极监控并修补 Splunk Cloud Platform 实例。 产品状态 缓解措施和变通方法 对于启用了 Splunk Web 的实例,禁用 Splunk Web 是一种可能的变通方法。有关禁用 Splunk Web 的更多信息,请参见《禁用不必要的 Splunk Enterprise 组件》和 配置说明文件。 检测 无 严重性 Splunk 对此漏洞的评分为 CVSSv3.1 Score: 4.3,中等严重性。 致谢 STÖK / Fredrik Alexandersson