Американское агентство CISA добавило уязвимость CVE-2026-20253 в каталог Known Exploited Vulnerabilities и потребовало от федеральных организаций закрыть её до 21 июня. Речь идёт о критической проблеме в Splunk Enterprise, которая уже используется в атаках, пусть пока и в ограниченном масштабе.
По описанию CISA, уязвимость относится к классу missing authentication for critical function. Она позволяет неаутентифицированному пользователю создавать или обрезать произвольные файлы через endpoint PostgreSQL sidecar service. Для платформы журналирования и анализа событий такой сценарий особенно неприятен: Splunk часто стоит близко к инфраструктурным данным, журналам безопасности и операционным процессам.
Splunk в своём advisory указывает, что команда PSIRT узнала об ограниченной эксплуатации в июне 2026 года и рекомендует клиентам перейти на исправленные версии. CISA отдельно подчёркивает необходимость применять mitigations по инструкциям вендора, а если закрыть риск невозможно — оценить экспозицию активов и прекратить использование уязвимой конфигурации.
Срок в три дня связан с директивой BOD 26-04, которая требует приоритизировать исправления по реальному риску, а не только по календарю регулярных патчей. Наличие CVE в KEV-каталоге означает, что эксплуатация подтверждена, поэтому откладывать обновление до планового окна опасно: публичный статус уязвимости обычно ускоряет сканирование и попытки повторить атаку.
Администраторам Splunk стоит проверить версии Enterprise, наличие PostgreSQL sidecar service endpoint, доступность интерфейсов из недоверенных сетей и журналы на признаки попыток создания или изменения файлов. Для крупных сред важно также убедиться, что исправление применено на всех search head, indexer и связанных компонентах, а не только на центральном узле управления.
Главный практический вывод: это не теоретический CVE из ежемесячной сводки, а уже эксплуатируемый дефект в системе, которая часто используется как центр наблюдаемости и расследований. Если Splunk помогает искать инциденты, его собственная поверхность атаки должна закрываться в первую очередь.
Источник: BleepingComputer / CISA, 19 июня 2026