Splunk ha publicado actualizaciones de seguridad para abordar una falla de seguridad crítica en Splunk Enterprise que podría explotarse para realizar operaciones de archivos no autenticados e incluso la ejecución remota de código.
La vulnerabilidad, rastreada como CVE-2026-20253tiene una calificación de 9,8 en el sistema de puntuación CVSS.
“En las versiones de Splunk Enterprise inferiores a 10.2.4 y 10.0.7, un usuario no autenticado podría crear o truncar archivos arbitrarios a través de un punto final de servicio secundario de PostgreSQL”, dijo Splunk en una alerta esta semana.
“La vulnerabilidad existe porque el punto final del servicio complementario PostgreSQL carece de controles de autenticación, lo que permite que cualquier usuario accesible en la red invoque operaciones de archivos sin credenciales”.
El problema se ha solucionado en las siguientes versiones:
- Splunk Enterprise 10.0.0 a 10.0.6: corregido en 10.0.7
- Splunk Enterprise 10.2.0 a 10.2.3: corregido en 10.2.4
- Splunk Enterprise 10.4: no afectado
Splunk, que es parte de Cisco, dijo que Splunk Cloud no se ve afectado por la vulnerabilidad ya que los sidecars de Postgres no se utilizan en el producto.
De qué se trata el defecto
El viernes, watchTowr Labs publicó detalles técnicos adicionales de CVE-2026-20253, afirmando que podría explotarse para lograr la ejecución remota de código previamente autenticado en sistemas susceptibles a través de los puntos finales “/v1/postgres/recovery/backup” y “/v1/postgres/recovery/restore”.
La cadena de ataque funciona de la siguiente manera:
- Conéctese a una base de datos controlada por un atacante y descargue su contenido en un archivo arbitrario usando el punto final /backup
- Cargue el volcado de la base de datos controlada por el atacante en la instancia local de PostgreSQL usando el punto final /restore incluyendo un argumento “passfile” que especifica la ruta a un archivo “.pgpass” (“/opt/splunk/var/packages/data/postgres/.pgpass”) que contiene la contraseña para el usuario “postgres_admin”
- Las consultas SQL definidas en el volcado de la base de datos serán ejecutadas por la instancia PostgreSQL de Splunk
Un atacante podría aprovechar esta debilidad como arma para definir una nueva función que utilice lo_export (una función utilizada para extraer un BLOB de la base de datos y guardarlo como un archivo en el sistema de archivos) para escribir contenido controlado por el atacante en un archivo, después de lo cual la función se ejecuta durante el proceso de restauración.
“En este punto, podemos autenticarnos, restaurar el SQL controlado por el atacante e interactuar con la base de datos local”, dijeron los investigadores de seguridad Piotr Bazydlo y Yordan Ganchev. “Una vez que pudimos restaurar el SQL controlado por el atacante en la instancia local de PostgreSQL, rápidamente armamos una plantilla de volcado de base de datos que nos proporcionó una escritura de archivo controlada”.
Armado con una primitiva de escritura de archivos arbitraria en el sistema de archivos Splunk, un atacante podría escalar aún más a la ejecución remota de código sobrescribiendo un script de Python que Splunk ejecuta con frecuencia (por ejemplo, “/opt/splunk/etc/apps/splunk_secure_gateway/bin/ssg_enable_modular_input.py”) para incluir la carga maliciosa.
La secuencia completa de acciones se encuentra a continuación:
- Cree una base de datos y configúrela de modo que un usuario pueda autenticarse sin contraseña y otorgarle permisos suficientes para invocar funciones como lo_export.
- Utilice el punto final /backup para colocar un volcado de la base de datos remota en el sistema de archivos Splunk
- Utilice el punto final /restore para cargar el volcado de la base de datos malicioso, desencadenar la ejecución de la función maliciosa durante el proceso de restauración y escribir un script Python controlado por el atacante en el sistema de archivos Splunk.
Aunque no hay evidencia de que la falla haya sido explotada en la naturaleza, la disponibilidad de los detalles específicos de la vulnerabilidad puede ser suficiente para impulsar a los actores de amenazas a desencadenar intentos oportunistas. Es esencial que los usuarios actúen rápidamente para aplicar las correcciones y mantenerse protegidos.
