CVE-2026-20253: Brak uwierzytelniania w krytycznej funkcji Splunk Enterprise
Krytyczna luka w Splunk Enterprise pozwala na nieautoryzowane operacje na plikach. Zalecana szybka aktualizacja lub wyłączenie usługi PostgreSQL sidecar.
- CVSS
- 9.8 CRITICAL
- EPSS
- 99.75%
- Aktywnie wykorzystywana
- tak
- Produkt
- Enterprise
Co wiadomo
W Splunk Enterprise w wersjach 10.2 poniżej 10.2.4 oraz 10 poniżej 10.0.7 występuje luka umożliwiająca nieautoryzowanym użytkownikom tworzenie lub nadpisywanie plików poprzez endpoint usługi PostgreSQL sidecar. Luka wynika z braku kontroli uwierzytelniania na tym endpointzie, co pozwala na wykonywanie operacji plikowych bez podawania poświadczeń.
Wpływ biznesowy
Ta krytyczna luka (CVSS 9.8) może prowadzić do poważnych naruszeń bezpieczeństwa, takich jak modyfikacja lub usunięcie plików na serwerze Splunk Enterprise. Może to skutkować utratą danych, zakłóceniem działania systemu oraz potencjalnym wykorzystaniem do dalszych ataków. Wersje 9.4 i wcześniejsze nie są podatne na tę lukę.
Rekomendowane działania administratora
Administratorzy powinni jak najszybciej zweryfikować wersję Splunk Enterprise i przeprowadzić aktualizację do wersji 10.2.4 lub 10.0.7 bądź nowszej. Jeśli natychmiastowa aktualizacja nie jest możliwa, zaleca się wyłączenie usługi PostgreSQL sidecar, aby ograniczyć ryzyko wykorzystania luki. Dodatkowo warto monitorować logi systemowe pod kątem podejrzanych operacji na plikach i ograniczyć dostęp sieciowy do usług Splunk.