In Splunk AI Toolkit versions below 5.7.3, a low-privileged user that does not hold the 'admin' or 'power' roles could access confidential data that was restricted through `srchFilter` configurations on custom roles.<br><br>The app contains an `authorize.conf` configuration file with a `srchFilter` entry that modifies the built-in ‘user’ role. Because the Splunk platform combines inherited search filters with the `OR` SPL operator, the injected filter overrides more restrictive filters on child roles.
CVE-2026-20238 affects Splunk AI Toolkit versions below 5.7.3, allowing low-privileged users without admin or power roles to access restricted confidential data through srchFilter configuration bypass. The vulnerability exploits how Splunk combines inherited search filters using OR operators, enabling privilege escalation through role-based access control circumvention.
تحتوي ثغرة CVE-2026-20238 على ملف تكوين authorize.conf في Splunk AI Toolkit يحتوي على إدخال srchFilter يعدل دور المستخدم المدمج. نظراً لأن منصة Splunk تجمع مرشحات البحث الموروثة باستخدام عامل OR، فإن المرشح المحقون يتجاوز المرشحات الأكثر تقييداً على الأدوار الفرعية.
يؤثر CVE-2026-20238 على إصدارات Splunk AI Toolkit أقل من 5.7.3، مما يسمح للمستخدمين ذوي الامتيازات المنخفضة بدون أدوار المسؤول أو الطاقة بالوصول إلى البيانات السرية المقيدة. يستغل الثغرة الطريقة التي يجمع بها Splunk مرشحات البحث الموروثة باستخدام عوامل OR، مما يمكّن تصعيد الامتيازات.
Upgrade Splunk AI Toolkit to version 5.7.3 or later immediately. Review and audit all custom role configurations and srchFilter settings to ensure proper access controls. Implement principle of least privilege and monitor user access patterns for unauthorized data retrieval attempts.
قم بترقية Splunk AI Toolkit إلى الإصدار 5.7.3 أو أحدث فوراً. راجع وتدقيق جميع تكوينات الأدوار المخصصة وإعدادات srchFilter لضمان ضوابط الوصول المناسبة. طبق مبدأ أقل امتياز وراقب أنماط وصول المستخدمين لمحاولات استرجاع البيانات غير المصرح بها.