Angreifer missbrauchen eine noch junge Sicherheitslücke in Splunk Enterprise. Die Sicherheitslücke erlaubt, Schadcode aus dem Netz einzuschleusen und auszuführen. Nicht alle Konfigurationen sind betroffen, Updates stehen bereit.
Eine Sicherheitsmitteilung von Splunk hat das Unternehmen am Donnerstag aktualisiert und ergänzt darin, dass Angriffe auf die Schwachstelle im Netz beobachtet wurden. Die in der vergangenen Woche gemeldete Schwachstelle betrifft Splunk Enterprise vor Version 10.2.4 und 10.0.7. Nicht authentifizierte Nutzer können über einen sogenannten PostgreSQL-Sidecar-Dienst-Endpunkt beliebige Dateien anlegen oder beschneiden. Der betroffene Endpunkt hat keine Authentifizierungsmaßnahmen, sodass alle mit Netzwerkzugriff Dateioperationen ohne Angaben von Zugangsdaten ausführen können (CVE-2026-20253, CVSS 9.8, Risiko „kritisch“).
Die Aktualisierung der Mitteilung vom Donnerstag besagt nun, dass das Splunk Product Security Incident Response Team (PSIRT) von „begrenztem Missbrauch dieser Schwachstelle“ Wind bekommen hat. Das Unternehmen empfiehlt daher dringend, dass Kunden auf einen korrigierten Software-Stand aktualisieren, um den sicherheitsrelevanten Fehler auszubessern. Nicht betroffen sind Splunk Enterprise 10.4, 9.4 und 9.3.
