Vulnerabilidad Crítica en Splunk Permite Ejecución Remota de Código

Ciberseguridad Jun 14, 2026

Introducción

Recientemente, Splunk ha emitido actualizaciones de seguridad para abordar una grave vulnerabilidad en su software Splunk Enterprise, que permite a atacantes ejecutar código de forma remota y sin necesidad de autenticación. Con una puntuación crítica de 9.8 en la escala CVSS, este fallo representa una seria amenaza para las organizaciones que utilizan esta herramienta.

¿Qué sucedió?

La vulnerabilidad, identificada como CVE-2026-20253, afecta a las versiones de Splunk Enterprise anteriores a la 10.2.4 y 10.0.7. Según el aviso de Splunk, un usuario no autenticado puede realizar operaciones de archivos a través de un endpoint del servicio sidecar de PostgreSQL que carece de controles de autenticación, permitiendo a cualquier usuario accesible a la red invocar estas operaciones sin credenciales.

Impacto y Riesgo

Los detalles técnicos proporcionados por watchTowr Labs indican que, mediante la explotación de esta vulnerabilidad, un atacante podría llevar a cabo la ejecución remota de código pre-autenticado utilizando endpoints como /v1/postgres/recovery/backup y /v1/postgres/recovery/restore. Esta brecha de seguridad podría permitir a un agresor volcar el contenido de una base de datos controlada y ejecutar SQL malicioso en la instancia local de PostgreSQL de Splunk, lo que podría comprometer gravemente la integridad y disponibilidad de los datos y sistemas de la organización.

Recomendaciones

  • Actualizar Splunk Enterprise a las versiones 10.0.7 o 10.2.4, según corresponda.
  • Implementar medidas de seguridad adicionales en la red para restringir el acceso a los endpoints de PostgreSQL.
  • Monitorear la actividad de los sistemas afectados para detectar posibles intentos de explotación.
  • Revisar la configuración de seguridad y realizar auditorías periódicas del sistema.

Conclusión

La identificación y mitigación rápida de vulnerabilidades como la CVE-2026-20253 es esencial para salvaguardar la infraestructura y los datos críticos de las organizaciones. Es fundamental que los administradores de TI mantengan sus sistemas actualizados y establezcan controles de seguridad robustos para evitar ataques que puedan provocar consecuencias desastrosas.

Tags

enHackeSOC

Recommended for you