Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило в свой каталог Known Exploited Vulnerabilities (KEV) новую уязвимость в Splunk Enterprise, получившую идентификатор CVE-2026-20253. Решение принято на основании подтверждённых данных об эксплуатации этой проблемы в реальных атаках. Уязвимость признана критической - её базовый балл по шкале CVSSv3.1 составляет 9,8 из 10.
Уязвимость CVE-2026-20253
Проблема обнаружена в компоненте PostgreSQL sidecar - вспомогательном сервисе, который используется Splunk Enterprise для работы с базами данных. Как пояснили в Splunk, конечная точка этого сервиса не требует аутентификации. Любой пользователь, имеющий сетевой доступ к уязвимому экземпляру Splunk, может без ввода учётных данных создавать произвольные файлы или урезать (truncate) существующие. Речь идёт о возможности записи и удаления содержимого файлов на сервере, где работает Splunk.
Технически уязвимость классифицируется как CWE-306 - отсутствие аутентификации для критически важной функции. Вектор атаки сетевой (AV:N), сложность низкая (AC:L), для эксплуатации не требуются ни привилегии, ни взаимодействие с пользователем. Потенциальные последствия включают нарушение целостности системы, утечку конфиденциальных данных и отказ в обслуживании. Злоумышленник мог бы, например, перезаписать конфигурационные файлы Splunk или удалить критически важные журналы, чтобы скрыть следы своей активности.
Уязвимость затрагивает две линейки Splunk Enterprise. Версии 10.2 от 10.2.0 до 10.2.3 включительно, а также версии 10.0 от 10.0.0 до 10.0.6. Версия 10.4, а также все версии 9.4 и ниже не подвержены проблеме. Splunk Cloud Platform не уязвим, поскольку в облачной версии PostgreSQL sidecar не используется.
Splunk Product Security Incident Response Team (PSIRT) сообщил, что в июне 2026 года стало известно об ограниченной эксплуатации уязвимости. Компания рекомендует как можно скорее установить исправления. Фиксированные релизы - Splunk Enterprise 10.4.0, 10.2.4 и 10.0.7.
Для тех, кто не может немедленно обновиться, предусмотрена временная мера защиты - отключение сервиса PostgreSQL sidecar. Для этого нужно добавить в конфигурационный файл server.conf, расположенный по пути $SPLUNK_HOME/etc/system/local/server.conf, следующую строку:
| 1 2 | [postgres] disabled = true |
После изменения конфигурации требуется перезапустить Splunk Enterprise. Однако компания предупреждает: этот обходной путь нельзя применять на инстанциях, где используются Edge Processor, OpAmp или конвейеры данных SPL2. Отключение PostgreSQL нарушит работу этих функций и может привести к сбоям зависимых sidecar-процессов. Основные возможности - поиск, индексирование и панели мониторинга - при этом останутся работоспособными.
Важно понимать, что уязвимость представляет реальную угрозу для организаций, использующих Splunk Enterprise в корпоративной среде. Поскольку для атаки не требуется аутентификация, злоумышленник может находиться как внутри периметра сети, так и за его пределами, если сервис доступен через интернет. В сочетании с другими техниками эксплуатация может привести к полному компромиссу системы.
Добавление CVE-2026-20253 в каталог CISA KEV означает, что федеральные гражданские ведомства США обязаны устранить эту проблему в установленные сроки. Но и коммерческим организациям стоит отнестись к ней серьёзно - активная эксплуатация уже подтверждена, и число атак может возрасти.
Ситуация с этой уязвимостью напоминает об общей тенденции: компоненты, работающие в связке с основными приложениями и не имеющие собственной аутентификации, становятся всё более привлекательной целью для атакующих. В данном случае PostgreSQL sidecar, предназначенный для служебных операций, оказался доступен из сети без каких-либо ограничений. Разработчикам стоит уделять особое внимание проверке всех сетевых конечных точек, особенно тех, которые не предполагают прямого взаимодействия с пользователем.
Организациям, использующим Splunk Enterprise, рекомендуется немедленно проверить версию своего продукта. Если используется уязвимый релиз, следует установить обновление в приоритетном порядке. При невозможности обновления - оценить риск отключения PostgreSQL sidecar с учётом используемых функций. В любом случае промедление с устранением этой уязвимости может привести к серьёзным последствиям для безопасности инфраструктуры.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20253
- https://advisory.splunk.com/advisories/SVD-2026-0603
- https://www.cisa.gov/news-events/alerts/2026/06/18/cisa-adds-one-known-exploited-vulnerability-catalog
