CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2026-20253

Splunk Enterprise — tworzenie/skracanie plików bez uwierzytelnienia przez sidecar PostgreSQL

CVSS 9.8v3.1pub. 2026-06-10upd. 2026-06-19

Podatność w Splunk Enterprise umożliwia nieuwierzytelnionemu atakującemu tworzenie lub skracanie (truncate) dowolnych plików poprzez endpoint serwisu sidecar PostgreSQL. Ze względu na brak jakichkolwiek mechanizmów uwierzytelnienia na tym endpoincie, każdy użytkownik osiągający sieć może wywołać operacje plikowe bez podawania danych logowania.

Pokaż oryginał (EN)

In Splunk Enterprise 10.2 versions below 10.2.4 and 10 versions below 10.0.7, an unauthenticated user could create or truncate arbitrary files through a PostgreSQL sidecar service endpoint. The vulnerability exists because the PostgreSQL sidecar service endpoint lacks authentication controls, allowing any network-reachable user to invoke file operations without credentials. Splunk Enterprise versions 9.4 and earlier are not affected. If you cannot immediately upgrade to a fixed version, you can mitigate this vulnerability by disabling the PostgreSQL sidecar service.

🤖 Analiza AI
Jak działa

Serwis sidecar PostgreSQL w Splunk Enterprise udostępnia endpoint sieciowy, który nie wymaga uwierzytelnienia (CWE-306: Missing Authentication for Critical Function). Dowolny użytkownik mający dostęp sieciowy do tego endpointu może wysyłać żądania wywołujące operacje na systemie plików — tworzenie nowych plików lub skracanie istniejących do zerowej długości. Brak kontroli dostępu sprawia, że atak jest możliwy bez posiadania jakichkolwiek poświadczeń w systemie.

Skutki

Atakujący może tworzyć dowolne pliki lub niszczyć zawartość istniejących plików na serwerze, co może prowadzić do zakłócenia działania systemu, usunięcia krytycznych danych konfiguracyjnych lub — w połączeniu z innymi technikami — do zdalnego wykonania kodu (RCE).

Mitygacja

Należy zaktualizować Splunk Enterprise do wersji 10.2.4 lub nowszej (dla gałęzi 10.2) albo do wersji 10.0.7 lub nowszej (dla gałęzi 10.0). Jeśli natychmiastowa aktualizacja nie jest możliwa, producent zaleca wyłączenie serwisu sidecar PostgreSQL jako doraźne obejście podatności.

Kogo dotyczy

Splunk Enterprise w wersjach 10.2 poniżej 10.2.4 oraz w wersjach 10.0 poniżej 10.0.7. Wersje 9.4 i wcześniejsze nie są podatne.

Uwagi

Producent (Splunk) wydał oficjalne advisory SVD-2026-0603. Firma watchTowr Labs opublikowała analizę techniczną podatności wskazującą na potencjał jej wykorzystania do pre-auth RCE.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Splunk

    APP
    Splunk
    10.0.0 – 10.0.7 (bez)10.2.0 – 10.2.4 (bez)

CISA KEV — szczegółyi

Dostawcai
Splunk
Produkti
Enterprise
Data dodania do KEVi
18 czerwca 2026
Termin remediation (USA)i
21 czerwca 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, zapewniając zgodność ze wskazówkami CISA dotyczącymi BOD 26-04 Prioritizing Security Updates Based on Risk (zobacz adres URL w Notes) oraz CISA "Forensics Triage Requirements" (zobacz adres URL w Notes). Postępuj zgodnie z odpowiednimi wskazówkami BOD 26-04 dla usług chmurowych lub wstrzymaj korzystanie z produktu, jeśli mitygacje są niedostępne. Interesariusze odpowiadają za ocenę ekspozycji internetowej każdego zasobu i zapewnienie zgodności z wytycznymi łatania BOD 26-04.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations in accordance with vendor instructions, ensuring compliance with CISA’s BOD 26-04 Prioritizing Security Updates Based on Risk (see URL in Notes) guidance and CISA’s “Forensics Triage Requirements” (see URL in Notes). Follow applicable BOD 26-04 guidance for cloud services or discontinue use of the product if mitigations are unavailable. Stakeholders are responsible for evaluating each asset's internet exposure and ensuring adherence to BOD 26-04 patching guidelines.

Opis CISAi

Splunk Enterprise zawiera lukę polegającą na braku uwierzytelnienia dla funkcji krytycznej, która mogłaby pozwolić nieuwierzytelnionym użytkownikom na tworzenie lub usuwanie zawartości dowolnych plików za pośrednictwem punktu końcowego sidecar PostgreSQL.

tłumaczenie AI
Pokaż oryginał (EN)

Splunk Enterprise contains a missing authentication for critical function vulnerability which could allow an unauthenticated user to create or truncate arbitrary files through a PostgreSQL sidecar service endpoint.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 21 czerwca 2026
CWE
Referencje

Powiązane podatności

CVE-2022-32158CRITICAL9.0ten sam produkt

Splunk Enterprise deployment servers in versions before 8.1.10.1, 8.2.6.1, and 9.0 let clients deploy forwarde...

CVE-2017-17067CRITICAL9.8ten sam produkt

Splunk Web in Splunk Enterprise 7.0.x before 7.0.0.1, 6.6.x before 6.6.3.2, 6.5.x before 6.5.6, 6.4.x before 6...

CVE-2016-10126CRITICAL9.8ten sam produkt

Splunk Web in Splunk Enterprise 5.0.x before 5.0.17, 6.0.x before 6.0.13, 6.1.x before 6.1.12, 6.2.x before 6....

CVE-2014-0160HIGH7.5⚠ KEVten sam produkt

The (1) TLS and (2) DTLS implementations in OpenSSL 1.0.1 before 1.0.1g do not properly handle Heartbeat Exten...

CVE-2026-20251HIGH8.8ten sam produkt

In Splunk Enterprise versions below 10.2.4, 10.0.7, 9.4.12, and 9.3.13, Splunk Cloud Platform versions below 1...