Vulnerabilidad crítica en Splunk Enterprise permite ejecución de código sin autenticación
Publicado el
Vulnerabilidad en Splunk Enterprise
Splunk ha lanzado actualizaciones de seguridad para remediar una vulnerabilidad crítica en Splunk Enterprise que podría ser explotada para realizar operaciones de archivos no autenticadas e incluso ejecutar código de forma remota. Esta vulnerabilidad, registrada como CVE-2026-20253, ha recibido una puntuación de 9.8 en el sistema de puntuación CVSS.
Según un aviso emitido por Splunk, en las versiones de Splunk Enterprise anteriores a 10.2.4 y 10.0.7, un usuario no autenticado podría crear o truncar archivos arbitrarios a través de un endpoint de servicio sidecar de PostgreSQL. La gravedad del problema radica en que dicho endpoint carece de controles de autenticación, permitiendo que cualquier usuario con acceso a la red realice operaciones de archivos sin credenciales.
Versiones afectadas y correcciones
Las versiones afectadas incluyen: - Splunk Enterprise 10.0.0 a 10.0.6 - Corregido en 10.0.7 - Splunk Enterprise 10.2.0 a 10.2.3 - Corregido en 10.2.4 - Splunk Enterprise 10.4 - No afectado
Splunk, que forma parte de Cisco, ha indicado que Splunk Cloud no se ve afectado por esta vulnerabilidad, ya que no utiliza sidecars de Postgres en su producto.
Detalles técnicos de la vulnerabilidad
El viernes, watchTowr Labs publicó detalles técnicos adicionales sobre CVE-2026-20253, afirmando que podría ser explotada para lograr una ejecución remota de código pre-autenticada en sistemas vulnerables a través de los endpoints /v1/postgres/recovery/backup y /v1/postgres/recovery/restore. El proceso de ataque se desarrolla de la siguiente manera:
1. Conectar a una base de datos controlada por el atacante y volcar su contenido en un archivo arbitrario utilizando el endpoint /backup. 2. Cargar el volcado de la base de datos en la instancia local de PostgreSQL mediante el endpoint /restore, incluyendo un argumento "passfile" que especifica la ruta a un archivo ".pgpass" que contiene la contraseña del usuario postgres_admin. 3. Ejecutar consultas SQL definidas en el volcado de la base de datos mediante la instancia de PostgreSQL de Splunk.
Un atacante podría aprovechar esta debilidad para definir una nueva función que utilice lo_export, una función que se emplea para extraer un BLOB de la base de datos y guardarlo como un archivo en el sistema de archivos. Tras esto, la función se ejecutaría durante el proceso de restauración.
Proceso de explotación
Los investigadores de seguridad Piotr Bazydlo y Yordan Ganchev describieron el proceso de explotación: "En este punto, podemos autenticar, restaurar SQL controlado por el atacante e interactuar con la base de datos local". Una vez que se restaura SQL controlado por el atacante en la instancia local de PostgreSQL, se puede crear una plantilla de volcado de base de datos que permite un escritura arbitraria de archivos en el sistema de archivos de Splunk. Esto podría llevar a una ejecución remota de código mediante la sobrescritura de un script de Python que Splunk ejecuta frecuentemente.
Recomendaciones para los usuarios
Aunque no hay evidencia de que esta vulnerabilidad haya sido explotada en el mundo real, la disponibilidad de detalles sobre la explotación puede incitar a actores maliciosos a intentar aprovechar la situación. Por lo tanto, es crucial que los usuarios apliquen las correcciones de inmediato para mantenerse protegidos. Cualquier retraso podría poner en riesgo la integridad de sus sistemas y datos.