CVE-2026-20253

Nome do Software Vulnerável e Versões Afetadas Splunk Enterprise versões anteriores a 10.2.4 Splunk Enterprise versões anteriores a 10.0.7 Splunk Cloud Platform versões anteriores a 10.4.2604.3 Splunk Cloud Platform versões anteriores a 10.2.2510.14

Description Um usuário não autenticado pode criar ou truncar arquivos arbitrários por meio de um endpoint de serviço sidecar do PostgreSQL devido à falta de controles de autenticação. Este problema permite que atacantes com alcance de rede invoquem operações de arquivo sem credenciais, o que pode levar à destruição de dados, interrupção de serviço, escalonamento de privilégios ou execução remota de código (RCE) ao sobrescrever arquivos ou configurações sensíveis. A falha é particularmente prevalente em implantações na AWS, onde o sidecar é habilitado por padrão. A exploração técnica envolve o uso do endpoint /en-US/splunkd/ raw/v1/postgres/recovery/backup e do parâmetro hostaddr para forçar uma conexão de banco de dados externa. Os atacantes podem então usar a função lo export() para gravar conteúdo malicioso em arquivos críticos, como scripts Python como ssg enable modular input.py, que são executados pelo agendador do Splunk. Existem relatos de exploração limitada deste problema no mundo real.

Recommendations Para as versões do Splunk Enterprise anteriores a 10.2.4, atualize para a versão 10.2.4 ou posterior. Para as versões do Splunk Enterprise anteriores a 10.0.7, atualize para a versão 10.0.7 ou posterior. Para as versões do Splunk Cloud Platform anteriores a 10.4.2604.3, atualize para a versão 10.4.2604.3 ou posterior. Para as versões do Splunk Cloud Platform anteriores a 10.2.2510.14, atualize para a versão 10.2.2510.14 ou posterior. Como solução temporária, desabilite o serviço sidecar do PostgreSQL. Restrinja o acesso de rede às instâncias do Splunk usando regras de firewall para evitar a exposição pública de portas de gerenciamento.