El 10 de junio de 2026 se publicaron múltiples vulnerabilidades de severidad crítica y alta en Splunk Enterprise, que podrían permitir a atacantes ejecutar scripts maliciosos, exfiltrar datos sensibles y realizar operaciones no autorizadas en archivos. Se identificaron 7 vulnerabilidades, siendo la más crítica el CVE-2026-20253 con una puntuación CVSS de 9.8, la cual permite la creación de archivos sin autenticación previa, lo que podría ocasionar un compromiso total del sistema. Otras vulnerabilidades incluyen ataques de cross-site scripting almacenado y SSRF, impactando principalmente componentes web y requiriendo interacción del usuario o configuraciones inseguras.
CVE y severidad
| CVE | Severidad | Descripción | Impacto |
|---|---|---|---|
| CVE-2026-20253 | Crítica (9.8) | Creación o truncamiento de archivos sin autenticación en el endpoint PostgreSQL sidecar | Compromiso total del sistema afectado |
| CVE-2026-20258 | Alta (7.1) | XSS almacenado en paneles HTML de dashboards clásicos | Ejecución arbitraria de JavaScript en el navegador de la víctima |
| CVE-2026-20252 | Alta (7.6) | SSRF en la función de exportación PDF del Dashboard Studio | Acceso a recursos internos y exposición de datos sensibles |
| CVE-2026-20254 | Media (5.7) | Bypass de restricciones CSS | Exfiltración de credenciales y datos |
| CVE-2026-20255 | Media (5.7) | Falla en la validación de diálogo de contenido externo | Exfiltración hacia dominios no confiables |
| CVE-2026-20256 | Media (5.7) | Falla en validación de URLs relativas a protocolo | Exfiltración basada en redireccionamientos |
| CVE-2026-20257 | Media (5.7) | Falla en validación de entradas CSS | Exfiltración de datos a dominios externos |
Productos afectados
| Fabricante | Producto | Componente afectado | Versiones afectadas |
|---|---|---|---|
| Splunk Inc. | Splunk Enterprise | PostgreSQL sidecar service, Splunk Web, Dashboard Studio, Classic Dashboards | < 10.2.4, < 10.0.7; también versiones 9.3.x, 9.4.x según componente |
Solución
Actualizar a una de las siguientes versiones corregidas:
- Splunk Enterprise 10.4.0 (recomendada)
- Splunk Enterprise 10.2.4
- Splunk Enterprise 10.0.7
- Splunk Enterprise 9.4.12
- Splunk Enterprise 9.3.13
Recomendaciones
Priorizar la aplicación inmediata de los parches oficiales y evitar habilitar contenido HTML embebible en dashboards; además, restringir permisos para la creación de dashboards y aplicar políticas estrictas sobre dominios confiables para minimizar riesgos.
Referencias
- https://cybersecuritynews.com/multiple-splunk-enterprise-vulnerabilities/
- NVD – CVE-2026-20253
- MITRE – CVE-2026-20253
- NVD – CVE-2026-20258
- MITRE – CVE-2026-20258
- NVD – CVE-2026-20252
- MITRE – CVE-2026-20252
- NVD – CVE-2026-20254
- MITRE – CVE-2026-20254
- NVD – CVE-2026-20255
- MITRE – CVE-2026-20255
- NVD – CVE-2026-20256
- MITRE – CVE-2026-20256
- NVD – CVE-2026-20257
- MITRE – CVE-2026-20257