Splunk Enterprise: CVE-2026-20253 permite escritura de archivos sin autenticar y ya está en el catálogo KEV de CISA
Resumen rápido
Una vulnerabilidad crítica (CVSS 9.8) en el sidecar PostgreSQL de Splunk Enterprise permite a un atacante no autenticado crear o truncar archivos arbitrarios, abriendo la puerta a ejecución remota de código. CISA la añadió a su catálogo de explotación activa.
Splunk ha publicado un aviso de seguridad de máxima gravedad para Splunk Enterprise: la vulnerabilidad CVE-2026-20253, con puntuación CVSS 9.8, permite a un atacante no autenticado crear o truncar archivos arbitrarios a través de un endpoint expuesto por el sidecar de PostgreSQL que acompaña al producto. CISA la ha incorporado a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), confirmando explotación activa.
Resumen ejecutivo
| Campo | Valor |
|---|---|
| Identificador | CVE-2026-20253 |
| CVSS v3.1 | 9.8 (Crítica) |
| Vector | Red, sin autenticación, sin interacción |
| Impacto | Escritura/truncado de archivos arbitrarios → RCE |
| Aviso oficial | Splunk SVD-2026-0603 |
| Estado | En CISA KEV — explotación activa confirmada |
| Producto | Splunk Enterprise (sidecar PostgreSQL) |
Por qué importa
Que una plataforma SIEM —el corazón de la detección de muchas organizaciones— sea atacable sin credenciales es especialmente grave: el SIEM concentra logs, alertas y, a menudo, credenciales de integración hacia el resto del entorno. La escritura o truncado de ficheros arbitrarios se traduce en un camino hacia la ejecución remota de código (sobrescribiendo binarios, tareas programadas, claves o ficheros de configuración) y hacia la destrucción de evidencia, truncando los propios índices o logs de auditoría —un atacante puede borrar su rastro en la misma herramienta que debía detectarlo.
Anatomía técnica
El componente vulnerable es el endpoint del sidecar de PostgreSQL introducido en las ramas recientes del producto. Según el aviso de Splunk y los análisis publicados tras la prueba de concepto divulgada por WatchTowr (12 de junio), una petición construida adecuadamente fuerza una operación de escritura/truncado fuera del alcance previsto sin pasar por el control de autenticación.
La cadena de explotación típica es:
- El atacante localiza una instancia con el sidecar PostgreSQL accesible por red.
- Envía la petición maliciosa que crea o trunca un fichero bajo su control.
- Escribe en una ruta sensible (tarea programada, script de arranque, fichero de app) para lograr ejecución de código con los privilegios del servicio.
- Opcionalmente, trunca índices o logs para evadir detección.
Versiones afectadas y corregidas
| Rama afectada | Corregida en |
|---|---|
| Splunk Enterprise 10.2.0 – 10.2.3 | 10.2.4 |
| Splunk Enterprise 10.0.0 – 10.0.6 | 10.0.7 |
| (cualquiera) | 10.4.0 |
Cronología
- 12 jun 2026 — WatchTowr publica una prueba de concepto.
- Días posteriores — Splunk emite el aviso SVD-2026-0603 y los parches.
- Tras confirmarse explotación — CISA añade el CVE al catálogo KEV y, bajo la directiva BOD 26-04, las agencias federales (FCEB) reciben un plazo acelerado para parchear.
Impacto y exposición
Cualquier despliegue de Splunk Enterprise en las ramas afectadas con el sidecar de PostgreSQL accesible está en riesgo. El mayor peligro está en instancias expuestas a Internet o alcanzables desde segmentos de red poco confiables. Dado que está en KEV, se asume explotación en curso por múltiples actores.
Indicadores y caza (threat hunting)
No se han publicado IOCs de red estables (IPs/hashes) verificados; la detección debe centrarse en el comportamiento:
- Peticiones HTTP no autenticadas contra los puertos/endpoints del sidecar PostgreSQL.
- Creación o modificación de ficheros inesperada por procesos de Splunk (tareas, scripts, binarios).
- Truncado anómalo de ficheros de índice o de logs de auditoría.
- Nuevos procesos hijo lanzados por componentes de Splunk fuera del patrón habitual.
Mitigación y respuesta
- Actualizar a 10.4.0, 10.2.4 o 10.0.7 según la rama. Prioridad máxima.
- Si no es posible parchear de inmediato, deshabilitar el sidecar de PostgreSQL cuando no sea estrictamente necesario.
- Restringir el acceso de red a la interfaz de gestión y a los puertos del sidecar: nunca deben estar expuestos a Internet; segmentar y filtrar por IP de origen.
- Revisar la integridad de índices y logs y la creación reciente de ficheros anómalos.
- Asumir compromiso si la instancia estuvo expuesta: rotar credenciales y tokens de integración manejados por el SIEM.
Cobertura en DefensOps
Este caso ilustra por qué la telemetría del propio SIEM debe vigilarse igual que cualquier otro activo crítico. DefensOps monitoriza las plataformas de seguridad como superficie de ataque de primera clase: peticiones no autenticadas contra servicios expuestos (T1190), creación de ficheros fuera de patrón por procesos de plataforma (T1505) y manipulación de configuraciones que precede a la ejecución de comandos (T1059), disponible desde el plan Essential.
Fuentes
Aviso oficial de Splunk (SVD-2026-0603); BleepingComputer; SecurityWeek; SOCRadar; prueba de concepto de WatchTowr; catálogo CISA KEV.
Análisis elaborado y sintetizado por el equipo de DefensOps Threat Intel a partir de las fuentes citadas.
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
Técnicas MITRE ATT&CK: T1190, T1059, T1505, T1078
- Escritura de archivo no autenticada en servicio SIEM expuesto · T1190 — Exploit Public-Facing Application · regla 111740 · plan Essential
- Creación de fichero anómala por proceso de plataforma de logs · T1505 — Server Software Component · regla 111744 · plan Essential
- Ejecución de comandos tras manipulación de configuración del SIEM · T1059 — Command and Scripting Interpreter · regla 111749 · plan Professional
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.