Splunk a lansat actualizări de securitate pentru a remedia o vulnerabilitate critică din Splunk Enterprise, care ar putea fi exploatată pentru a efectua operațiuni neautentificate asupra fișierelor și chiar pentru executarea de cod de la distanță, avertizează DNSC.
Splunk este o platformă de date utilizată pentru colectarea, căutarea, monitorizarea și analiza în timp real a unor volume masive de date generate de computere, cu accent pe securitatea cibernetică. Aceasta funcționează ca un motor de căutare pentru jurnalele de sistem, extrage informații utile și vizualizează datele prin alerte, rapoarte și tablouri de bord.
Splunk Inc. este o filială a Cisco Systems care produce software pentru analiza datelor, cu funcții de creare a tablourilor de bord, alertelor, graficelor și rapoartelor pentru monitorizarea stării sistemului și pentru detectarea și rezolvarea problemelor în timp real.
Vulnerabilitatea, identificată cu codul CVE-2026-20253, are un scor de 9,8 în sistemul de evaluare CVSS.
„În versiunile Splunk Enterprise anterioare versiunilor 10.2.4 și 10.0.7, un utilizator neautentificat ar putea crea sau trunchia fișiere arbitrare prin intermediul unui punct final al serviciului sidecar PostgreSQL”, a declarat Splunk într-o alertă emisă săptămâna aceasta.
„Vulnerabilitatea există deoarece punctul final al serviciului sidecar PostgreSQL nu dispune de controale de autentificare, permițând oricărui utilizator accesibil prin rețea să inițieze operațiuni asupra fișierelor fără a deține credențiale.”
Vulnerabilitatea afectează endpoint-urile PostgreSQL utilizate de componenta internă „sidecar” din arhitectura Splunk. Din cauza implementării insuficiente a mecanismelor de autentificare și validare a solicitărilor, un atacator poate interacționa cu funcționalități sensibile fără credențiale valide. În acest context, un potențial atacator poate crea fișiere în locații controlate de acesta sau poate șterge ori modifica conținutul unor fișiere existente în cadrul aplicației.
Mai mult, această capacitate poate fi exploatată pentru a suprascrie fișiere Python critice utilizate de Splunk, ceea ce poate duce la modificarea fluxului de execuție al aplicației. În anumite scenarii, acest comportament transformă vulnerabilitatea într-un vector exploatabil pentru execuție de cod la distanță (RCE), înaintea procesului de autentificare a utilizatorilor.
Sunt afectate următoarele versiuni:
- Splunk Enterprise 10.0.0 – 10.0.6
- Splunk Enterprise 10.2.0 – 10.2.3
Problema a fost remediată în următoarele versiuni:
- Splunk Enterprise 10.0.7
- Splunk Enterprise 10.2.4
- Splunk Enterprise 10.4 – Nu este afectat
Splunk a declarat că Splunk Cloud nu este afectat de această vulnerabilitate, deoarece serviciile „sidecar” Postgres nu sunt utilizate în cadrul produsului.
Pe 12 iunie, la câteva zile după ce Splunk a lansat patch-urile de securitate, WatchTowr a publicat un articol tehnic, a distribuit un cod de exploatare de tip „proof-of-concept” și a avertizat că această vulnerabilitate poate fi folosită în mod abuziv pentru atacuri de execuție de cod la distanță.
Miercuri, 18 iunie, Splunk și-a actualizat avizul, îndemnând clienții să aplice patch-urile cât mai curând posibil, având în vedere dovezile privind exploatarea activă a vulnerabilității.
„În iunie 2026, Echipa de răspuns la incidente de securitate a produselor Splunk (PSIRT) a constatat o exploatare limitată a acestei vulnerabilități. Splunk recomandă cu tărie clienților să treacă la o versiune de software remediată pentru a repara această vulnerabilitate”, se menționează în aviz.
Grupul de monitorizare a securității pe internet Shadowserver urmărește peste 1.400 de instanțe Splunk expuse pe internet, majoritatea provenind din America de Nord (952) și Europa (223). Cu toate acestea, nu există informații cu privire la câte dintre acestea sunt vulnerabile la atacurile în curs care vizează vulnerabilitatea CVE-2026-20253, potrivit BleepingComputer.
Splunk a comunicat, de asemenea, măsuri de atenuare pentru administratorii care nu pot aplica imediat patch-uri sistemelor vulnerabile, sfătuindu-i să dezactiveze serviciul sidecar PostgreSQL pentru a elimina suprafața de atac.
Cu toate acestea, compania a avertizat că dezactivarea PostgreSQL ar întrerupe fluxurile de date Edge Processor, OpAmp sau SPL2 pe instanțele afectate.
About the Author
