Kritische Lücke in Splunk Enterprise ermöglicht Dateizugriffe und potenziell Codeausführung ohne Anmeldung

Im Zentrum der jetzt geschlossenen Schwachstelle steht laut Splunk ein PostgreSQL-Sidecar-Service in Splunk Enterprise. In Versionen unterhalb von 10.2.4 und 10.0.7 könne ein nicht authentifizierter Nutzer beliebige Dateien anlegen oder kürzen. Splunk erklärte in einer Warnmeldung in dieser Woche, der betroffene Service-Endpunkt verfüge über keine Authentifizierungsmechanismen, sodass jeder über das Netzwerk erreichbare Nutzer Dateioperationen ohne Anmeldedaten anstoßen könne.

Die Schwachstelle wird als CVE-2026-20253 verfolgt und mit einem CVSS-Wert von 9,8 eingestuft. Sicherheitsupdates stehen laut Splunk bereit. Nicht betroffen ist nach Angaben des Unternehmens Splunk Cloud, da dort keine Postgres-Sidecars eingesetzt werden. Splunk gehört zu Cisco.

Weitere technische Einzelheiten veröffentlichte watchTowr Labs am Freitag. Die Forscher beschreiben, dass sich die Schwachstelle über die Endpunkte “/v1/postgres/recovery/backup” und “/v1/postgres/recovery/restore” zu einer Remotecodeausführung vor der Anmeldung ausbauen lässt. Der beschriebene Angriffsweg setzt darauf, eine neue Funktion zu definieren, die lo_export verwendet. Diese Funktion dient dazu, ein BLOB aus der Datenbank zu extrahieren und als Datei im Dateisystem zu speichern.

Nach Darstellung von watchTowr Labs kann ein Angreifer auf diesem Weg selbst kontrollierte Inhalte in eine Datei schreiben; diese Funktion werde anschließend während des Wiederherstellungsprozesses ausgeführt. Die Sicherheitsforscher Piotr Bazydlo und Yordan Ganchev erklärten, an diesem Punkt sei es möglich, sich zu authentifizieren, von Angreifern kontrolliertes SQL wiederherzustellen und mit der lokalen Datenbank zu interagieren. Sobald kontrolliertes SQL in die lokale PostgreSQL-Instanz eingespielt werden könne, habe sich damit rasch eine Vorlage für einen Datenbank-Dump erstellen lassen, die einen kontrollierten Schreibzugriff auf Dateien ermögliche.

Mit dieser Möglichkeit, beliebige Dateien im Splunk-Dateisystem zu beschreiben, lasse sich der Angriff weiter verschärfen. watchTowr Labs zufolge kann ein Angreifer zur Remotecodeausführung etwa ein von Splunk häufig ausgeführtes Python-Skript überschreiben, beispielsweise “/opt/splunk/etc/apps/splunk_secure_gateway/bin/ssg_enable_modular_input.py”, und dort eine schädliche Nutzlast einfügen.

Hinweise auf eine aktive Ausnutzung der Schwachstelle gibt es dem Quelltext zufolge bislang nicht. Allerdings liegen die technischen Details des Exploits inzwischen öffentlich vor.