Splunk hat am Mittwoch einen Patchday angekündigt, der insgesamt drei kritische und mittelschwere Sicherheitslücken adressiert. Die schwerwiegendste ist die Fernzugriffs-Schwachstelle CVE-2026-20204, die in Splunk Enterprise und der Cloud Platform existiert.
Die Lücke nutzt eine Schwäche in der Verarbeitung von Temporärdateien aus. Benutzer mit eingeschränkten Systemrechten können gezielt manipulierte Dateien in das Temporär-Verzeichnis hochladen, das nicht ausreichend isoliert ist. Dies ermöglicht es ihnen, Programmcode auszuführen und das System zu kompromittieren – ein klassisches Szenario für sogenannte Privilege-Escalation-Angriffe.
Zwei weitere Lücken mittlerer Kritikalität wurden ebenfalls patcht: Eine erlaubt es, Benutzernamen mit ungültigen Byte-Zeichen zu erstellen, die sich nicht korrekt verarbeiten lassen. Die zweite ermöglicht unberechtigten Zugriff auf die Aktivierung oder Deaktivierung der Data Model Acceleration.
Ausgerollt werden die Fixes in den Versionen 10.2.2, 10.0.5, 9.4.10 und 9.3.11 von Splunk Enterprise sowie in den gepatchten Cloud Platform-Instanzen. Parallel wurde eine weitere hochkritische Lücke (CVE-2026-20205) in der MCP Server-App geschlossen, die es authentifizierten Angreifern ermöglichte, Sitzungen und Authentifizierungstoken im Klartext auszulesen. Splunk betont jedoch, dass diese Schwachstelle lokale Dateizugriffe oder administrative Rechte voraussetzt. Das Update MCP Server 1.0.3 behebt dieses Problem.
Darüber hinaus wurden Sicherheitslücken in mehreren Zusatzkomponenten adressiert, darunter der Operator für Kubernetes Add-on, IT Service Intelligence (ITSI) und der Universal Forwarder. Splunk zufolge gibt es bislang keine Hinweise auf aktive Exploits in freier Wildbahn – ein gutes Zeichen, das aber kein Grund für Verzögerungen sein sollte.
Deutsche Unternehmen, die Splunk zur Datenanalyse und Log-Verwaltung nutzen, sollten ihre IT-Teams zur zeitnahen Aktualisierung instruieren. Das Sicherheitsadvisory auf der Splunk-Website enthält weitere technische Details zur Behebung.