Se ha divulgado oficialmente una vulnerabilidad crítica identificada como CVE-2026-20204, con un puntaje CVSS de 7.1, que afecta múltiples versiones de las plataformas Splunk Enterprise y Cloud. Esta falla permite la ejecución remota de código (RCE) mediante la carga de archivos maliciosos manipulando el manejo inadecuado de archivos temporales en el componente Splunk Web, con un acceso mínimo requerido por parte del atacante.
CVE y severidad
| CVE | Puntaje CVSS | Severidad | Alcance | Explotación conocida |
|---|---|---|---|---|
| CVE-2026-20204 | 7.1 | Alta | Splunk Web componente en Enterprise y Cloud | No reportada actualmente |
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| Splunk Inc. | Splunk Enterprise | Splunk Web | < 10.2.1, < 10.0.5, 9.4.0 – 9.4.9, < 9.3.11 | Varias plataformas soportadas por Splunk |
| Splunk Inc. | Splunk Cloud Platform | Splunk Web | < 10.3.2512.5, < 10.2.2510.9, < 10.1.2507.19, < 10.0.2503.13, < 9.3.2411.127 | Cloud (multiplataforma) |
Solución
Actualizar todas las instalaciones de Splunk Enterprise a las versiones 10.2.1, 10.0.5, 9.4.10, 9.3.11 o superiores y monitorear las instancias de Splunk Cloud para aplicar los parches automáticos que despliega el proveedor.
Recomendaciones
Desactivar el componente Splunk Web si no es estrictamente necesario o restringir el acceso a la interfaz mediante configuraciones de red.
Revisar el directorio SPLUNK_HOME/var/run/splunk/apptemp en busca de archivos inusuales.