Splunk publicó parches para CVE-2026-20253, una vulnerabilidad crítica en Splunk Enterprise que permite a un atacante sin autenticación crear o truncar ficheros y, con una cadena de técnicas, llegar a ejecución remota de código. Splunk Cloud queda fuera del problema, pero las instalaciones locales afectadas deben actualizarse cuanto antes.
La vulnerabilidad CVE-2026-20253 pone en alerta a quienes operan Splunk Enterprise en entornos propios, especialmente si exponen servicios a redes no confiables. El fallo permite a un atacante sin autenticación crear o truncar ficheros arbitrarios en el sistema objetivo mediante un endpoint asociado a un sidecar de PostgreSQL, un componente auxiliar que Splunk utiliza en determinadas configuraciones. El riesgo no es menor: la puntuación alcanza CVSS 9.8 y el escenario encaja con una ausencia de autenticación en una función crítica, catalogada como CWE-306.
El problema nace en la falta de controles de acceso del endpoint del sidecar. En la práctica, cualquier actor con conectividad de red hacia ese servicio puede invocarlo sin pasar por credenciales. La gravedad se dispara porque esa capacidad de escritura, aunque empiece como una operación de fichero, se puede transformar en algo mucho más serio. La propia cadena de ataque descrita se apoya en los endpoints /v1/postgres/recovery/backup y /v1/postgres/recovery/restore, que permiten volcar y restaurar datos. Si el atacante logra que el proceso consuma un volcado controlado, puede ejecutar SQL durante la restauración.
A partir de ahí, el salto a RCE resulta plausible al sobrescribir scripts que Splunk ejecuta de forma recurrente, por ejemplo ficheros Python dentro de rutas como /opt/splunk/etc/apps/. Ese tipo de manipulación encaja con ataques que buscan persistencia y control, con un impacto potencial alto en confidencialidad, integridad y disponibilidad, justo lo que refleja el vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.
Las versiones afectadas abarcan Splunk Enterprise 10.0.0 a 10.0.6 y 10.2.0 a 10.2.3. Splunk corrigió el fallo en 10.0.7 y 10.2.4, y aclara que Splunk Enterprise 10.4 no se ve afectado. También insiste en un matiz relevante para muchas empresas: Splunk Cloud no entra en el alcance porque no utiliza estos Postgres sidecars.
En el momento de la publicación no se ha confirmado explotación activa en ataques reales, pero el fabricante no ofrece mitigaciones temporales: la vía recomendada pasa por actualizar. Además de aplicar los parches, conviene priorizar las instancias expuestas a redes no confiables, revisar la integridad de ficheros y scripts en la instalación de Splunk, y vigilar llamadas anómalas a /v1/postgres/recovery/backup y /v1/postgres/recovery/restore para detectar intentos de abuso antes de que escalen.
Más información
- thehackernews.com – Critical Splunk Enterprise Flaw Lets Attackers Run Code Without Authentication : https://thehackernews.com/2026/06/critical-splunk-enterprise-flaw-lets.html
- Splunk Advisory – SVD-2026-0603: Unauthenticated Arbitrary File Creation and Truncation in a PostgreSQL Sidecar Service Endpoint in Splunk Enterprise : https://advisory.splunk.com/advisories/SVD-2026-0603
- Orca Security – CVE-2026-20253: Splunk Enterprise RCE & Unauthenticated File Operation Flaws : https://orca.security/resources/blog/cve-2026-20253-splunk-enterprise-rce-unauthenticated-file-operations/
La entrada Splunk corrige un fallo crítico en Splunk Enterprise que abre la puerta a ejecución remota de código sin autenticación se publicó primero en Una Al Día.
