CISA добавила критическую уязвимость Splunk Enterprise CVE-2026-20253 в каталог Known Exploited Vulnerabilities после подтверждения эксплуатации в реальных атаках. BleepingComputer сообщает, что федеральным агентствам США предписано установить исправления до воскресенья, 28 июня 2026 года.
Проблема затрагивает Splunk Enterprise версий 10.2.0–10.2.3 и 10.0.0–10.0.6. По advisory Splunk, уязвимость связана с endpoint PostgreSQL sidecar service: из-за отсутствия должных authentication controls любой сетевой пользователь, имеющий доступ к этому endpoint, может выполнять файловые операции без учётных данных. В опубликованных описаниях речь идёт о возможности создавать или обрезать произвольные файлы на уязвимом устройстве.
На практике такой класс ошибки опасен не только сам по себе. Splunk часто стоит в центре инфраструктуры мониторинга, собирает логи приложений, сетевых устройств, средств защиты и облачных сервисов. Возможность неавторизованного воздействия на файлы может привести к отказу сервиса, повреждению данных, подготовке дальнейшей эксплуатации или попыткам скрыть следы активности. Даже если конкретный сценарий не даёт мгновенного полного контроля, компрометация SIEM-платформы ухудшает видимость всей команды безопасности.
Исправленные версии, указанные Splunk, — 10.2.4 и 10.0.7. Для администраторов это означает срочный инвентарь: нужно понять, какие Splunk Enterprise узлы используют затронутые ветки, доступен ли sidecar endpoint из недоверенных сегментов и есть ли признаки необычных файловых операций. Временное сетевое ограничение доступа к управленческим и внутренним endpoint может снизить риск, но не заменяет обновление.
Попадание в KEV — сигнал, что уязвимость уже не теоретическая. Частным компаниям формально не обязательно следовать сроку CISA, но в таких случаях публичный дедлайн часто становится ориентиром и для атакующих: они знают, что уязвимые инсталляции будут искать в ближайшие дни. Splunk-администраторам стоит не откладывать патч, проверить целостность конфигураций и убедиться, что логи самой платформы не были изменены или повреждены до обновления.
Источник: BleepingComputer / Splunk advisory, 26 июня 2026