Splunk Enterprise possui duas vulnerabilidades críticas divulgadas em junho de 2026. A CVE-2026-20253 (CVSS 9,8) permite execução remota de código sem autenticação por meio do PostgreSQL Sidecar. A CVE-2026-20251 (CVSS 8,8) concede RCE a qualquer usuário com privilégio básico via desserialização insegura no Secure Gateway. Instalações on-premise estão em risco imediato; Splunk Cloud não é afetado.

Resumo: duas falhas críticas no Splunk

Splunk divulgou em junho de 2026 quatro vulnerabilidades de alta e criticidade em seu pacote Enterprise e no app Secure Gateway. A mais grave, CVE-2026-20253 (CVSS 9.8), permite execução remota de código sem qualquer autenticação — basta ter acesso à rede do servidor. A segunda, CVE-2026-20251 (CVSS 8.8), requer apenas um usuário com privilégio baixo para atingir RCE via desserialização insegura. Juntas, representam o risco mais grave já documentado para plataformas SIEM corporativas em 2026. Splunk Cloud não é afetado; o foco é exclusivamente em instalações on-premise.

O que é o CVE-2026-20253

A vulnerabilidade reside no serviço PostgreSQL Sidecar que acompanha o Splunk Enterprise a partir da versão 10. Esse serviço expõe endpoints HTTP sem nenhuma verificação de credenciais (CWE-306). Os caminhos /v1/postgres/recovery/backup e /v1/postgres/recovery/restore ficam acessíveis a qualquer pessoa que consiga alcançar a interface web do Splunk.

O problema é grave porque, embora o sidecar escute em localhost, ele é acessível externamente por meio do mecanismo de proxy do Splunk. Qualquer atacante que alcance a porta web consegue atingir esses endpoints vulneráveis sem login.

Como funciona a cadeia de exploração

A pesquisa divulgada pela Orca Security e pela Apolo Cybersecurity detalhou a cadeia completa:

  1. Acesso sem autenticação: o atacante envia requisições HTTP aos endpoints do PostgreSQL Sidecar pelo proxy do Splunk.
  2. Escrita arbitrária de arquivos: usando a função lo_export do PostgreSQL, o atacante exporta um BLOB malicioso para qualquer caminho do sistema de arquivos.
  3. Escalada para RCE: ao sobrescrever um script Python executado pelo Splunk, o código malicioso roda no contexto do processo na próxima execução.
  4. Acesso a credenciais: o atacante pode ler o arquivo .pgpass do PostgreSQL, que armazena senhas em texto puro.

Nenhuma etapa exige interação do usuário ou credenciais prévias. A complexidade do ataque é classificada como baixa.

CVE-2026-20251: RCE com privilégio mínimo

A segunda falha crítica atinge o app Splunk Secure Gateway (SSG). Ela explora desserialização insegura via a biblioteca Python jsonpickle. Um usuário com privilégio básico — sem papel de admin ou power — consegue injetar um documento JSON malicioso no KV Store do Splunk.

A função de validação check_alert_data_valid_json() falha ao encontrar a chave py/object como primeiro campo, retornando verdadeiro sem inspecionar os demais campos. O dado então passa por jsonpickle.decode(..., safe=True), mas o flag safe não bloqueia o caminho py/reduce, que permite executar funções Python arbitrárias como subprocess.check_output.

A vulnerabilidade foi reportada por Mahdan Argya Syarif (0xbeludan) e afeta as versões do Secure Gateway 3.8.x, 3.9.x e 3.10.x. A advisory oficial da Splunk fornece a lista completa de versões afetadas.

SIEM comprometido destrói a segurança

Splunk não é um servidor web qualquer — é o ponto central onde converge toda a telemetria de segurança de uma organização. Comprometer o SIEM tem consequências que poucas vulnerabilidades conseguem igualar:

  • Acesso a todos os logs: firewalls, endpoints, servidores de autenticação, sistemas críticos e nuvem — tudo passa pelo Splunk.
  • Cegueira do SOC: um atacante com RCE pode apagar logs, desativar alertas e manipular dashboards, operando invisível enquanto o time de segurança vê apenas o que o atacante permite.
  • Credenciais de integração: o Splunk armazena tokens e chaves de API para AWS, Azure, GCP, Active Directory, pipelines de CI/CD e ferramentas de ticketing. RCE concede acesso a tudo isso.

Para empresas brasileiras que dependem do Splunk em ambientes regulados — como setores financeiro, de saúde e energia — o risco regulatório se soma ao técnico. A LGPD exige notificação em até 72 horas quando há risco relevante para titulares, e um SIEM comprometido representa exatamente esse cenário. O tempo de resposta após a detecção de um comprometimento dessa magnitude costuma ser medido em semanas, não horas.

Versões afetadas e correções

Produto Versões afetadas Versão corrigida
Splunk Enterprise 10.2 10.2.0 a 10.2.3 10.2.4
Splunk Enterprise 10.0 10.0.0 a 10.0.6 10.0.7
Splunk Enterprise 9.4 9.4.0 a 9.4.11 9.4.12
Splunk Enterprise 9.3 9.3.0 a 9.3.12 9.3.13
Secure Gateway 3.10 abaixo de 3.10.6 3.10.6
Secure Gateway 3.9 abaixo de 3.9.20 3.9.20
Secure Gateway 3.8 abaixo de 3.8.67 3.8.67

Splunk Cloud não é afetado. O PostgreSQL Sidecar não existe na plataforma gerenciada. Instalações em AWS são as de maior risco, pois o sidecar é ativado por padrão nessas implantações.

O que fazer agora

A Splunk liberou correções em 10 de junho de 2026. O PoC técnico está circulando publicamente desde 15 de junho, conforme documentado pela Apolo Cybersecurity. A janela para aplicar patches antes de exploits automatizados está fechando.

Passos imediatos para quem não pode atualizar:

  1. Desabilite o PostgreSQL Sidecar: execute $SPLUNK_HOME/bin/splunk stop splunk-postgresql-sidecar e verifique se os endpoints pararam de responder.
  2. Remova ou desative o Secure Gateway: se sua organização não usa Splunk Mobile, Spacebridge ou Mission Control, desinstale o app SSG. Isso elimina o risco do CVE-2026-20251.
  3. Restrinja acesso à interface web: garanta que o Splunk não esteja exposto à internet sem VPN ou autenticação forte na camada de rede.
  4. Monitore logs de acesso: busque requisições para os endpoints /v1/postgres/recovery/ e alterações incomuns no KV Store.

Leia também

Splunk: CISA dá 3 dias para corrigir falha crítica explorada

Jenkins corrige 26 falhas em 18 plugins com sandbox bypass

ServiceNow expõe dados corporativos por falha de API

Referências