Kritická zraniteľnosť Splunk Enterprise umožňuje vzdialene vykonávať kód

Spoločnosť Splunk vydala bezpečnostné aktualizácie pre kritickú zraniteľnosť v Splunk Enterprise, ktorá umožňuje neautentifikovaným útočníkom manipulovať s databázou PostgreSQL, vykonávať operácie so súbormi a zneužitím viacerých koncových bodov dosiahnuť vzdialené vykonanie kódu.

Zraniteľné systémy:

• Splunk Enterprise 10.2.0 až 10.2.3
• Splunk Enterprise 10.0.0 až 10.0.6

Opis činnosti:

CVE-2026-20253 (CVSS skóre 9,8)

Kritická zraniteľnosť v Splunk Enterprise umožňuje vzdialenému neautentifikovanému útočníkovi vykonávať operácie so súbormi a za určitých okolností dosiahnuť vzdialené vykonanie kódu. Chyba sa nachádza v komponente splunkd. API služby PostgreSQL Sidecar Service nekontroluje autentifikáciu používateľa a nesanitizuje používateľské vstupy v niektorých parametroch, čo umožňuje útočníkovi v rámci požiadavky HTTP POST vytvárať alebo prepisovať súbory hocikde na cieľovom systéme.

Zneužitím koncových bodov /v1/postgres/recovery/backup a /v1/postgres/recovery/restore môže neautentifikovaný útočník vytvoriť ľubovoľný súbor, zapísať do neho obsah zo vzdialenej databázy pod svojou kontrolou, autentifikovať sa ako administrátor a obsah súboru načítať do databázy zraniteľnej inštancie Splunk Enterprise. Záznam v databáze môže následne vyexportovať do súboru (napríklad prepísať legitímny skript Python) a tento spustiť. Získa tak schopnosť vzdialene vykonávať kód.

Možné škody:

• Obídenie bezpečnostných prvkov
• Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia Splunk Enterprise aspoň na verziu 10.0.7 alebo 10.2.4.

Odkazy:

• https://labs.watchtowr.com/why-use-app-level-auth-when-every-database-has-auth-splunk-enterprise-cve-2026-20253-pre-auth-rce/
• https://advisory.splunk.com/advisories/SVD-2026-0603
• https://thehackernews.com/2026/06/critical-splunk-enterprise-flaw-lets.html