Splunk Enterprise possui duas vulnerabilidades críticas divulgadas em junho de 2026. A CVE-2026-20253 (CVSS 9,8) permite execução remota de código sem autenticação por meio do PostgreSQL Sidecar. A CVE-2026-20251 (CVSS 8,8) concede RCE a qualquer usuário com privilégio básico via desserialização insegura no Secure Gateway. Instalações on-premise estão em risco imediato; Splunk Cloud não é afetado.
Resumo: duas falhas críticas no Splunk
Splunk divulgou em junho de 2026 quatro vulnerabilidades de alta e criticidade em seu pacote Enterprise e no app Secure Gateway. A mais grave, CVE-2026-20253 (CVSS 9.8), permite execução remota de código sem qualquer autenticação — basta ter acesso à rede do servidor. A segunda, CVE-2026-20251 (CVSS 8.8), requer apenas um usuário com privilégio baixo para atingir RCE via desserialização insegura. Juntas, representam o risco mais grave já documentado para plataformas SIEM corporativas em 2026. Splunk Cloud não é afetado; o foco é exclusivamente em instalações on-premise.
O que é o CVE-2026-20253
A vulnerabilidade reside no serviço PostgreSQL Sidecar que acompanha o Splunk Enterprise a partir da versão 10. Esse serviço expõe endpoints HTTP sem nenhuma verificação de credenciais (CWE-306). Os caminhos /v1/postgres/recovery/backup e /v1/postgres/recovery/restore ficam acessíveis a qualquer pessoa que consiga alcançar a interface web do Splunk.
O problema é grave porque, embora o sidecar escute em localhost, ele é acessível externamente por meio do mecanismo de proxy do Splunk. Qualquer atacante que alcance a porta web consegue atingir esses endpoints vulneráveis sem login.
Como funciona a cadeia de exploração
A pesquisa divulgada pela Orca Security e pela Apolo Cybersecurity detalhou a cadeia completa:
- Acesso sem autenticação: o atacante envia requisições HTTP aos endpoints do PostgreSQL Sidecar pelo proxy do Splunk.
- Escrita arbitrária de arquivos: usando a função
lo_exportdo PostgreSQL, o atacante exporta um BLOB malicioso para qualquer caminho do sistema de arquivos. - Escalada para RCE: ao sobrescrever um script Python executado pelo Splunk, o código malicioso roda no contexto do processo na próxima execução.
- Acesso a credenciais: o atacante pode ler o arquivo
.pgpassdo PostgreSQL, que armazena senhas em texto puro.
Nenhuma etapa exige interação do usuário ou credenciais prévias. A complexidade do ataque é classificada como baixa.
CVE-2026-20251: RCE com privilégio mínimo
A segunda falha crítica atinge o app Splunk Secure Gateway (SSG). Ela explora desserialização insegura via a biblioteca Python jsonpickle. Um usuário com privilégio básico — sem papel de admin ou power — consegue injetar um documento JSON malicioso no KV Store do Splunk.
A função de validação check_alert_data_valid_json() falha ao encontrar a chave py/object como primeiro campo, retornando verdadeiro sem inspecionar os demais campos. O dado então passa por jsonpickle.decode(..., safe=True), mas o flag safe não bloqueia o caminho py/reduce, que permite executar funções Python arbitrárias como subprocess.check_output.
A vulnerabilidade foi reportada por Mahdan Argya Syarif (0xbeludan) e afeta as versões do Secure Gateway 3.8.x, 3.9.x e 3.10.x. A advisory oficial da Splunk fornece a lista completa de versões afetadas.
SIEM comprometido destrói a segurança
Splunk não é um servidor web qualquer — é o ponto central onde converge toda a telemetria de segurança de uma organização. Comprometer o SIEM tem consequências que poucas vulnerabilidades conseguem igualar:
- Acesso a todos os logs: firewalls, endpoints, servidores de autenticação, sistemas críticos e nuvem — tudo passa pelo Splunk.
- Cegueira do SOC: um atacante com RCE pode apagar logs, desativar alertas e manipular dashboards, operando invisível enquanto o time de segurança vê apenas o que o atacante permite.
- Credenciais de integração: o Splunk armazena tokens e chaves de API para AWS, Azure, GCP, Active Directory, pipelines de CI/CD e ferramentas de ticketing. RCE concede acesso a tudo isso.
Para empresas brasileiras que dependem do Splunk em ambientes regulados — como setores financeiro, de saúde e energia — o risco regulatório se soma ao técnico. A LGPD exige notificação em até 72 horas quando há risco relevante para titulares, e um SIEM comprometido representa exatamente esse cenário. O tempo de resposta após a detecção de um comprometimento dessa magnitude costuma ser medido em semanas, não horas.
Versões afetadas e correções
| Produto | Versões afetadas | Versão corrigida |
|---|---|---|
| Splunk Enterprise 10.2 | 10.2.0 a 10.2.3 | 10.2.4 |
| Splunk Enterprise 10.0 | 10.0.0 a 10.0.6 | 10.0.7 |
| Splunk Enterprise 9.4 | 9.4.0 a 9.4.11 | 9.4.12 |
| Splunk Enterprise 9.3 | 9.3.0 a 9.3.12 | 9.3.13 |
| Secure Gateway 3.10 | abaixo de 3.10.6 | 3.10.6 |
| Secure Gateway 3.9 | abaixo de 3.9.20 | 3.9.20 |
| Secure Gateway 3.8 | abaixo de 3.8.67 | 3.8.67 |
Splunk Cloud não é afetado. O PostgreSQL Sidecar não existe na plataforma gerenciada. Instalações em AWS são as de maior risco, pois o sidecar é ativado por padrão nessas implantações.
O que fazer agora
A Splunk liberou correções em 10 de junho de 2026. O PoC técnico está circulando publicamente desde 15 de junho, conforme documentado pela Apolo Cybersecurity. A janela para aplicar patches antes de exploits automatizados está fechando.
Passos imediatos para quem não pode atualizar:
- Desabilite o PostgreSQL Sidecar: execute
$SPLUNK_HOME/bin/splunk stop splunk-postgresql-sidecare verifique se os endpoints pararam de responder. - Remova ou desative o Secure Gateway: se sua organização não usa Splunk Mobile, Spacebridge ou Mission Control, desinstale o app SSG. Isso elimina o risco do CVE-2026-20251.
- Restrinja acesso à interface web: garanta que o Splunk não esteja exposto à internet sem VPN ou autenticação forte na camada de rede.
- Monitore logs de acesso: busque requisições para os endpoints
/v1/postgres/recovery/e alterações incomuns no KV Store.
Leia também
Splunk: CISA dá 3 dias para corrigir falha crítica explorada
Jenkins corrige 26 falhas em 18 plugins com sandbox bypass
ServiceNow expõe dados corporativos por falha de API