検出

Splunk Universal Forwarder 9.3.0 < 9.3.11、9.4.0 < 9.4.10、10.0.0 < 10.0.4、10.2.0 < 10.2.1 (SVD-2026-0404)

medium Nessus プラグイン ID 306778

Language:

概要

リモートのウェブサーバーホストで実行されているアプリケーションは、脆弱性の影響を受けます。

説明

リモートホストにインストールされている Splunk のバージョンは、テスト済みバージョンより前です。したがって、SVD-2026-0404 のアドバイザリに記載されている脆弱性の影響を受けます。

 - 問題の要約: 署名された PKCS#7 データの署名検証に型の取り違えの脆弱性が存在し、最初に型を検証せずに ASN1_TYPE ユニオンメンバーにアクセスすると、無効な形式の PKCS#7 データを処理する際に、無効なポインター、または NULL ポインターのデリファレンスが発生します。影響の要約: PKCS#7 データの署名認証を実行するアプリケーション、または PKCS7_digest_from_attributes() 関数を直接呼び出すアプリケーションにおいて、読み取り時に無効なポインター、または NULL ポインターをデリファレンスすることで、サービス拒否を引き起こす可能性があります。PKCS7_digest_from_attributes() 関数は、型を検証することなく、メッセージダイジェスト属性値にアクセスします。型が V_ASN1_OCTET_STRING でない場合、ASN1_TYPE ユニオンを介して無効なメモリにアクセスすることになり、クラッシュが発生します。この脆弱性を悪用するには、攻撃者が不正な形式の署名付き PKCS#7 を、それを検証するアプリケーションに提供する必要があります。エクスプロイトの影響はサービス拒否のみに限定されます。また、PKCS7 API はレガシーであり、アプリケーションは代わりに CMS API を使用する必要があります。前述の理由により、この問題は重要度低と評価されました。3.5、3.4、3.3、3.0 の FIPS モジュールは、この問題による影響を受けません。これは、CMS PKCS#7 解析の実装が OpenSSL FIPS モジュール境界の外部にあるためです。OpenSSL 3.6、3.5、3.4、3.3、3.0、1.1.1、1.0.2 は、この問題に対して脆弱ではありません。(CVE-2026-22796)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Splunk Universal Forwarder をバージョン 10.2.1、10.0.4、9.4.10、9.3.11 またはそれ以降にアップグレードしてください。

参考資料

https://advisory.splunk.com/advisories/SVD-2026-0404.html

プラグインの詳細

深刻度: Medium

ID: 306778

ファイル名: splunk_1021_cve-2026-22796.nasl

バージョン: 1.1

タイプ: Combined

エージェント: windows, macosx, unix

ファミリー: CGI abuses

公開日: 2026/4/16

更新日: 2026/4/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.2

CVSS v2

リスクファクター: Medium

基本値: 5.4

現状値: 4

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2026-22796

CVSS v3

リスクファクター: Medium

基本値: 5.3

現状値: 4.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:splunk:splunk, cpe:/a:splunk:universal_forwarder

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/4/15

脆弱性公開日: 2024/4/9

参照情報

CVE: CVE-2026-22796