Die schwerwiegendste der gemeldeten Lücken, CVE-2026-20204, betrifft Splunk Enterprise und die Cloud Platform. Sie erlaubt es Nutzern mit geringen Rechten, eine manipulierte Datei in ein temporäres Verzeichnis zu legen und darüber Code aus der Ferne auszuführen. Ursache ist nach Angaben von Splunk der unsachgemäße Umgang mit temporären Dateien, die in diesem Verzeichnis nicht hinreichend isoliert werden.

Zwei weitere Schwachstellen mittleren Schweregrads in Enterprise und Cloud Platform wurden ebenfalls geschlossen. Eine davon lässt sich missbrauchen, um Benutzernamen anzulegen, die ein Null-Byte oder ein nicht UTF-8-konformes, prozentkodiertes Byte enthalten, sodass deren Umwandlung in ein korrektes Format verhindert wird. Die zweite ermöglicht es Angreifern, die Data Model Acceleration ein- oder auszuschalten.

Für alle diese Fehler stehen Korrekturen in den Versionen 10.2.2, 10.0.5, 9.4.10, 9.3.11 sowie höheren Ausgaben von Splunk Enterprise bereit. Die Instanzen der Cloud Platform patcht Splunk eigenständig.

Zusätzlich behob das Unternehmen CVE-2026-20205, eine ebenfalls hochgradig kritische Schwachstelle in der MCP-Server-App. Authentifizierte Angreifer konnten darüber die Sitzungen und Autorisierungs-Token anderer Nutzer im Klartext einsehen. Laut Splunk setzt der Angriff entweder lokalen Zugriff auf die Protokolldateien oder administrativen Zugriff auf interne Indizes voraus, wobei Letzteren standardmäßig nur die Admin-Rolle erhält. Behoben wurde der Fehler mit Version 1.0.3 der MCP-Server-App.

Darüber hinaus verteilte Splunk Korrekturen für Fehler in Drittanbieter-Paketen, die in Splunk Enterprise, im Operator for Kubernetes Add-on, in der App IT Service Intelligence (ITSI) sowie im Universal Forwarder enthalten sind.

Splunk macht keine Angaben dazu, dass eine der Schwachstellen aktiv ausgenutzt wurde. Weitere Informationen stellt das Unternehmen auf seiner Seite mit Sicherheitshinweisen bereit.