Se ha liberado un aviso de seguridad crítico que alerta sobre una vulnerabilidad de ejecución remota de comandos (RCE) de alta severidad en las plataformas Enterprise y Cloud de Splunk. Identificada como CVE-2026-20163, esta falla puede permitir a atacantes privilegiados ejecutar comandos arbitrarios en el servidor afectado mediante manipulación indebida de entradas en la previsualización de archivos cargados. Se recomienda a los administradores revisar y actualizar sus entornos para mitigar el riesgo.
CVE y severidad
| CVE | Puntaje CVSS | Severidad | Componente afectado | Detalles clave |
|---|---|---|---|---|
| CVE-2026-20163 | 8.0 | Alta | REST API (/splunkd/__upload/indexing/preview) | Inyección de comandos al manipular parámetro unarchive_cmd con privilegios edit_cmd |
Productos afectados
| Fabricante | Producto | Componentes | Versiones Afectadas | Plataformas/SO |
|---|---|---|---|---|
| Splunk Inc. | Splunk Enterprise | REST API (endpoint de carga y previsualización) | 10.0.0–10.0.3, 9.4.0–9.4.8, 9.3.0–9.3.9 | Enterprise (Linux, Windows) |
| Splunk Inc. | Splunk Cloud Platform | REST API (endpoint de carga y previsualización) | Versiones anteriores a 10.2.2510.5, 10.1.2507.16, 10.0.2503.12, 9.3.2411.124 | Cloud Platform |
Solución
Actualizar a Splunk Enterprise versiones 10.2.0, 10.0.4, 9.4.9, 9.3.10 o superiores.
Recomendaciones
Priorizar la actualización inmediata para mitigar riesgos críticos; mantener los sistemas en ventanas de mantenimiento adecuadas y validar despliegues después de aplicar parches, asegurando la eliminación o restricción estrica del privilegio edit_cmd para usuarios hasta completar las actualizaciones.
Workarounds
Como medida temporal, eliminar completamente el privilegio edit_cmd de todos los roles de usuario para interrumpir la cadena de explotación que permite la ejecución arbitraria de comandos.