CVE-2026-20253: Brak uwierzytelniania w krytycznej funkcji Splunk Enterprise

Krytyczna luka w Splunk Enterprise pozwala na nieautoryzowane operacje na plikach. Zalecana szybka aktualizacja lub wyłączenie usługi PostgreSQL sidecar.
CVE-2026-20253CVSS 9.8CISA KEVDatabase

CVE-2026-20253: Brak uwierzytelniania w krytycznej funkcji Splunk Enterprise

Krytyczna luka w Splunk Enterprise pozwala na nieautoryzowane operacje na plikach. Zalecana szybka aktualizacja lub wyłączenie usługi PostgreSQL sidecar.

CVSS
9.8 CRITICAL
EPSS
99.75%
Aktywnie wykorzystywana
tak
Produkt
Enterprise

Co wiadomo

W Splunk Enterprise w wersjach 10.2 poniżej 10.2.4 oraz 10 poniżej 10.0.7 występuje luka umożliwiająca nieautoryzowanym użytkownikom tworzenie lub nadpisywanie plików poprzez endpoint usługi PostgreSQL sidecar. Luka wynika z braku kontroli uwierzytelniania na tym endpointzie, co pozwala na wykonywanie operacji plikowych bez podawania poświadczeń.

Wpływ biznesowy

Ta krytyczna luka (CVSS 9.8) może prowadzić do poważnych naruszeń bezpieczeństwa, takich jak modyfikacja lub usunięcie plików na serwerze Splunk Enterprise. Może to skutkować utratą danych, zakłóceniem działania systemu oraz potencjalnym wykorzystaniem do dalszych ataków. Wersje 9.4 i wcześniejsze nie są podatne na tę lukę.

Rekomendowane działania administratora

Administratorzy powinni jak najszybciej zweryfikować wersję Splunk Enterprise i przeprowadzić aktualizację do wersji 10.2.4 lub 10.0.7 bądź nowszej. Jeśli natychmiastowa aktualizacja nie jest możliwa, zaleca się wyłączenie usługi PostgreSQL sidecar, aby ograniczyć ryzyko wykorzystania luki. Dodatkowo warto monitorować logi systemowe pod kątem podejrzanych operacji na plikach i ograniczyć dostęp sieciowy do usług Splunk.

Źródła