Splunk ha divulgado una vulnerabilidad crítica (CVE-2026-20266, CVSS 9.1) en Splunk AI Toolkit que permite a atacantes ejecutar comandos arbitrarios del sistema operativo en sistemas afectados. La falla, clasificada como CWE-78 (inyección de comandos OS), reside en el componente btool helper, donde la falta de sanitización en parámetros dinámicos permite la ejecución remota de comandos sin interacción del usuario. La explotación requiere privilegios administrativos (PR:H) pero tiene baja complejidad (AC:L), afectando la confidencialidad, integridad y disponibilidad del entorno.
CVE y severidad
- Identificador: CVE-2026-20266
- Puntuación CVSS: 9.1 (Crítica)
- Vector CVSS: AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
- Clasificación CWE: CWE-78 (OS Command Injection)
- Estado de explotación: No hay evidencia pública de explotación activa (junio 2026)
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas |
|---|---|---|---|
| Splunk | Splunk AI Toolkit | btool (helper de configuración) | Versiones 5.7.0–5.7.3 |
Solución
Actualizar a Splunk AI Toolkit 5.7.4 o superior, que corrige el comportamiento de ejecución insegura de comandos en el componente btool.
Recomendaciones
Las organizaciones deben priorizar la actualización de todas las instancias vulnerables en un plazo inmediato. Se recomienda aplicar principios de mínimo privilegio a los roles de Splunk y monitorear la actividad del sistema en busca de patrones anómalos de ejecución de comandos. En entornos críticos, considerar la desinstalación temporal del AI Toolkit mientras se evalúa la migración a versiones seguras.
Workarounds
Como medida temporal, Splunk sugiere desinstalar el Splunk AI Toolkit si no es posible aplicar la actualización. La documentación oficial de Splunk proporciona guías para gestionar y eliminar aplicaciones.