Splunk ha publicado un aviso de seguridad de máxima gravedad para Splunk Enterprise: la vulnerabilidad CVE-2026-20253, con puntuación CVSS 9.8, permite a un atacante no autenticado crear o truncar archivos arbitrarios a través de un endpoint expuesto por el sidecar de PostgreSQL que acompaña al producto. CISA la ha incorporado a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), confirmando explotación activa.

Resumen ejecutivo

Campo Valor
Identificador CVE-2026-20253
CVSS v3.1 9.8 (Crítica)
Vector Red, sin autenticación, sin interacción
Impacto Escritura/truncado de archivos arbitrarios → RCE
Aviso oficial Splunk SVD-2026-0603
Estado En CISA KEV — explotación activa confirmada
Producto Splunk Enterprise (sidecar PostgreSQL)

Por qué importa

Que una plataforma SIEM —el corazón de la detección de muchas organizaciones— sea atacable sin credenciales es especialmente grave: el SIEM concentra logs, alertas y, a menudo, credenciales de integración hacia el resto del entorno. La escritura o truncado de ficheros arbitrarios se traduce en un camino hacia la ejecución remota de código (sobrescribiendo binarios, tareas programadas, claves o ficheros de configuración) y hacia la destrucción de evidencia, truncando los propios índices o logs de auditoría —un atacante puede borrar su rastro en la misma herramienta que debía detectarlo.

Anatomía técnica

El componente vulnerable es el endpoint del sidecar de PostgreSQL introducido en las ramas recientes del producto. Según el aviso de Splunk y los análisis publicados tras la prueba de concepto divulgada por WatchTowr (12 de junio), una petición construida adecuadamente fuerza una operación de escritura/truncado fuera del alcance previsto sin pasar por el control de autenticación.

La cadena de explotación típica es:

  1. El atacante localiza una instancia con el sidecar PostgreSQL accesible por red.
  2. Envía la petición maliciosa que crea o trunca un fichero bajo su control.
  3. Escribe en una ruta sensible (tarea programada, script de arranque, fichero de app) para lograr ejecución de código con los privilegios del servicio.
  4. Opcionalmente, trunca índices o logs para evadir detección.

Versiones afectadas y corregidas

Rama afectada Corregida en
Splunk Enterprise 10.2.0 – 10.2.3 10.2.4
Splunk Enterprise 10.0.0 – 10.0.6 10.0.7
(cualquiera) 10.4.0

Cronología

  • 12 jun 2026 — WatchTowr publica una prueba de concepto.
  • Días posteriores — Splunk emite el aviso SVD-2026-0603 y los parches.
  • Tras confirmarse explotación — CISA añade el CVE al catálogo KEV y, bajo la directiva BOD 26-04, las agencias federales (FCEB) reciben un plazo acelerado para parchear.

Impacto y exposición

Cualquier despliegue de Splunk Enterprise en las ramas afectadas con el sidecar de PostgreSQL accesible está en riesgo. El mayor peligro está en instancias expuestas a Internet o alcanzables desde segmentos de red poco confiables. Dado que está en KEV, se asume explotación en curso por múltiples actores.

Indicadores y caza (threat hunting)

No se han publicado IOCs de red estables (IPs/hashes) verificados; la detección debe centrarse en el comportamiento:

  • Peticiones HTTP no autenticadas contra los puertos/endpoints del sidecar PostgreSQL.
  • Creación o modificación de ficheros inesperada por procesos de Splunk (tareas, scripts, binarios).
  • Truncado anómalo de ficheros de índice o de logs de auditoría.
  • Nuevos procesos hijo lanzados por componentes de Splunk fuera del patrón habitual.

Mitigación y respuesta

  1. Actualizar a 10.4.0, 10.2.4 o 10.0.7 según la rama. Prioridad máxima.
  2. Si no es posible parchear de inmediato, deshabilitar el sidecar de PostgreSQL cuando no sea estrictamente necesario.
  3. Restringir el acceso de red a la interfaz de gestión y a los puertos del sidecar: nunca deben estar expuestos a Internet; segmentar y filtrar por IP de origen.
  4. Revisar la integridad de índices y logs y la creación reciente de ficheros anómalos.
  5. Asumir compromiso si la instancia estuvo expuesta: rotar credenciales y tokens de integración manejados por el SIEM.

Cobertura en DefensOps

Este caso ilustra por qué la telemetría del propio SIEM debe vigilarse igual que cualquier otro activo crítico. DefensOps monitoriza las plataformas de seguridad como superficie de ataque de primera clase: peticiones no autenticadas contra servicios expuestos (T1190), creación de ficheros fuera de patrón por procesos de plataforma (T1505) y manipulación de configuraciones que precede a la ejecución de comandos (T1059), disponible desde el plan Essential.

Fuentes

Aviso oficial de Splunk (SVD-2026-0603); BleepingComputer; SecurityWeek; SOCRadar; prueba de concepto de WatchTowr; catálogo CISA KEV.

Análisis elaborado y sintetizado por el equipo de DefensOps Threat Intel a partir de las fuentes citadas.