Zraniteľnosť Splunk Enterprise a Splunk Cloud Platform umožňuje vykonávať kód. Splunk MCP Server odhaľuje tokeny.

Splunk Enterprise a Splunk Cloud Platform obsahuje zraniteľnosť, ktorá umožňuje útočníkovi s oprávneniami bežného používateľa vzdialene vykonávať kód nahraním škodlivého súboru do dočasného adresára. Zraniteľnosť Splunk MCP Serveru dovoľuje čítať používateľské tokeny vo voľnom texte.

Zraniteľné systémy:

• Splunk Enterprise, verzie staršie ako 10.2.1, 10.0.5, 9.4.10, 9.3.11
• Splunk Cloud Platform, verzie staršie ako 10.4.2603.0, 10.3.2512.5, 10.2.2510.9, 10.1.2507.19, 10.0.2503.13, 9.3.2411.127
• Splunk MCP Server, verzie staršie ako 1.0.3

Opis činnosti:

CVE-2026-20204 (CVSS skóre 7,1)

Vývojári Splunk Enterprise a Splunk Cloud Platform opravili vysoko závažnú zraniteľnosť, ktorá súvisí s nevhodným narábaním a izoláciou dočasných súborov. Vzdialeným útočníkom s nízkymi oprávneniami dovoľuje nahrávať súbory do adresára /var/run/splunk/apptemp, čo môže viesť ku vzdialenému vykonaniu škodlivého kódu.

CVE-2026-20205 (CVSS skóre 7,2)

V Splunk MCP Server opravili vývojári vysoko závažnú zraniteľnosť, ktorá umožňuje autentifikovaným útočníkom čítať používateľské autorizačné a relačné tokeny vo voľnom texte. Potrebujú na to autorizáciu prístupu k indexu _internal alebo oprávnenia mcp_tool_admin.

Možné škody:

• Vzdialené vykonávanie kódu
• Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia aspoň na verzie:

• Splunk Enterprise10.2.1, 10.0.5, 9.4.10, 9.3.11
• Splunk Cloud Platform 10.4.2603.0, 10.3.2512.5, 10.2.2510.9, 10.1.2507.19, 10.0.2503.13, 9.3.2411.127
• Splunk MCP Server 1.0.3

Odkazy:

• https://www.cve.org/CVERecord?id=CVE-2026-20204
• https://www.cve.org/CVERecord?id=CVE-2026-20205
• https://www.securityweek.com/splunk-enterprise-update-patches-code-execution-vulnerability/