
Se han descubierto múltiples vulnerabilidades en productos Splunk. Entre ellas, una crítica y dos de severidad alta. Un actor malicioso remoto podría lograr la ejecución remota de código, realizar manipulaciones no autorizadas en el sistema o acceder a información confidencial.
Productos afectados
- Splunk Enterprise: versiones 10.2.x (anteriores a 10.2.4), 10.0.x (anteriores a 10.0.7), 9.4.x (anteriores a 9.4.12) y 9.3.x (anteriores a 9.3.13).
- Splunk Cloud Platform: versiones 10.4.2604.x (anteriores a 10.4.2604.3), 10.3.2512.x (anteriores a 10.3.2512.12), 10.2.2510.x (anteriores a 10.2.2510.15), 10.1.2507.x (anteriores a 10.1.2507.23), 10.0.2503.x (anteriores a 10.0.2503.13) y 9.3.2411.x (anteriores a 9.3.2411.132).
- Splunk Secure Gateway: versiones 3.10.x (anteriores a 3.10.6), 3.9.x (anteriores a 3.9.20) y 3.8.x (anteriores a 3.8.67).
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-20253: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de ausencia de autenticación para funciones críticas en el punto final del servicio sidecar de PostgreSQL integrado en Splunk Enterprise. El error se produce debido a que dicho componente carece por completo de controles de validación de identidad, lo que permite a un actor malicioso remoto no autenticado enviar solicitudes directas a través de la red sin necesidad de credenciales.
CVE-2026-20251: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de deserialización de datos no confiables en la aplicación Splunk Secure Gateway. El error se debe a una validación insuficiente al reconstruir objetos arbitrarios de Python utilizando la biblioteca jsonpickle a partir de datos estructurados en formato JSON dentro del almacén de clave-valor de la aplicación. Un actor malicioso remoto autenticado con privilegios bajos podría aprovechar esta deficiencia inyectando una carga útil JSON especialmente diseñada.
CVE-2026-20252: con una puntuación de 7.6 en CVSS v3.1. Existe una vulnerabilidad de falsificación de solicitudes del lado del servidor en la función de exportación de PDF de Dashboard Studio. La falla se debe a una validación deficiente de los dominios de confianza mediante una coincidencia de prefijos que puede ser eludida. Un actor malicioso remoto autenticado con privilegios bajos podría enviar solicitudes para forzar al servidor a realizar peticiones HTTP no autorizadas dentro de la red privada de la organización.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias