PT-2026-48493 · Splunk · Splunk Cloud Platform+1
Alex Hordijk
·
Publicado
2026-06-10
·
Atualizado
2026-06-17
·
CVE-2026-20253
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Splunk Enterprise versões anteriores a 10.2.4
Splunk Enterprise versões anteriores a 10.0.7
Splunk Cloud Platform versões anteriores a 10.4.2604.3
Splunk Cloud Platform versões anteriores a 10.2.2510.14
Description
Um usuário não autenticado pode criar ou truncar arquivos arbitrários em um sistema por meio de um endpoint de serviço sidecar do PostgreSQL que carece de controles de autenticação. Essa falha permite que atacantes acessíveis pela rede invoquem operações de arquivo sem credenciais, o que pode levar à destruição de dados, interrupção de serviço, escalonamento de privilégios ou execução remota de código (RCE) ao sobrescrever arquivos ou configurações sensíveis. O problema é particularmente prevalente em implantações na AWS, onde o sidecar é habilitado por padrão.
Detalhes técnicos incluem o uso de endpoints como '/v1/postgres/recovery/backup', '/v1/postgres/recovery/restore' e '/en-US/splunkd/ raw/v1/postgres/recovery/backup'. Atacantes podem usar a injeção de string de conexão através do parâmetro
hostaddr para forçar uma conexão de banco de dados externa. Ao utilizar a função lo export() durante uma restauração de SQL maliciosa, os atacantes podem gravar conteúdo controlado em arquivos críticos, como o arquivo .pgpass ou scripts Python como ssg enable modular input.py(), para alcançar a execução total de código com privilégios de nível Splunk.Recommendations
Para Splunk Enterprise versões anteriores a 10.2.4, atualize para a versão 10.2.4 ou posterior.
Para Splunk Enterprise versões anteriores a 10.0.7, atualize para a versão 10.0.7 ou posterior.
Para Splunk Cloud Platform versões anteriores a 10.4.2604.3, atualize para a versão 10.4.2604.3 ou posterior.
Para Splunk Cloud Platform versões anteriores a 10.2.2510.14, atualize para a versão 10.2.2510.14 ou posterior.
Como solução temporária, desabilite o serviço sidecar do PostgreSQL.
Restrinja o acesso de rede às instâncias do Splunk usando regras de firewall para evitar a exposição pública de portas de gerenciamento.
Exploit
Correção
RCE
LPE
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Splunk Cloud Platform
Splunk Enterprise