Splunk ha divulgado una vulnerabilidad de alta severidad en Splunk Enterprise para Windows que permite a un usuario local con privilegios limitados escalar a privilegios SYSTEM mediante un ataque de secuestro del orden de búsqueda de DLL. Esta falla afecta versiones anteriores a 10.2.0, 10.0.3, 9.4.8, 9.3.9 y 9.2.12, y permite la ejecución de código malicioso con derechos elevados al reiniciarse el servicio de Splunk. La vulnerabilidad implica un impacto alto en confidencialidad, integridad y disponibilidad del sistema afectado.
CVE y severidad
Esta vulnerabilidad está registrada como CVE-2026-20140 y fue publicada el 18 de febrero de 2026 bajo el aviso SVD-2026-0205. Posee una puntuación CVSSv3.1 de 7.7 (Alta) y se clasifica en CWE-427 (Elemento de ruta de búsqueda no controlado). Requiere acceso local (AV:L), cuenta con alta complejidad (AC:H) y necesita interacción del usuario (UI:R), con un cambio de alcance (S:C) que afecta la confidencialidad, integridad y disponibilidad del sistema.
Productos afectados
| Producto | Versiones afectadas | Versión corregida |
|---|---|---|
| Splunk Enterprise | 10.0.0 a 10.0.2 | 10.0.3 |
| Splunk Enterprise | 9.4.0 a 9.4.7 | 9.4.8 |
| Splunk Enterprise | 9.3.0 a 9.3.8 | 9.3.9 |
| Splunk Enterprise | 9.2.0 a 9.2.11 | 9.2.12 |
| Splunk Enterprise | 10.2 (No afectado) | 10.2.0 |
Solución
Actualizar a las versiones 10.2.0, 10.0.3, 9.4.8, 9.3.9 o 9.2.12 según corresponda.
Recomendaciones
Se recomienda priorizar la aplicación inmediata del parche correspondiente y restringir los permisos de escritura en los directorios del disco donde está instalado Splunk para evitar la colocación no autorizada de DLL maliciosas.