CVE-2026-20253
Unauthenticated Arbitrary File Creation and Truncation in a PostgreSQL Sidecar Service Endpoint in Splunk Enterprise
Em resumo
Um atacante sem credenciais de login consegue criar ou deletar arquivos em um servidor Splunk acessando um serviço PostgreSQL desprotegido. Isso é crítico porque permite modificar arquivos do sistema que podem derrubar o sistema ou expor dados sensíveis.
Detalhe técnico
CWE-306: Falta de Verificação de Autenticação. Um atacante não autenticado pode invocar operações de criação e truncamento de arquivos no endpoint do serviço PostgreSQL sidecar em versões afetadas do Splunk Enterprise (10.2.x <10.2.4, 10.x <10.0.7) através de acesso à rede, resultando em manipulação arbitrária de arquivos com impacto no nível do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
In Splunk Enterprise 10.2 versions below 10.2.4 and 10 versions below 10.0.7, an unauthenticated user could create or truncate arbitrary files through a PostgreSQL sidecar service endpoint. The vulnerability exists because the PostgreSQL sidecar service endpoint lacks authentication controls, allowing any network-reachable user to invoke file operations without credentials. Splunk Enterprise versions 9.4 and earlier are not affected. If you cannot immediately upgrade to a fixed version, you can mitigate this vulnerability by disabling the PostgreSQL sidecar service.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Splunk · Splunk EnterprisePoCs públicas encontradas — 4
githubgithub.com/watchtowrlabs/watchTowr-vs-Splunk-CVE-2026-20253★ 11githubgithub.com/0xBlackash/CVE-2026-20253★ 2githubgithub.com/HORKimhab/CVE-2026-20253★ 0cve_referencelabs.watchtowr.com/why-use-app-level-auth-when-every-database-has-auth-splunk-enterprise-cve-2026-20253-pre-auth-rce/não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →