Splunk beschreibt CVE-2026-20253 als kritische Schwachstelle in Splunk Enterprise. Nach Angaben des Herstellers fehlt dem Endpunkt des PostgreSQL-Sidecar-Dienstes eine Authentifizierung. Dadurch könne jeder Nutzer mit Netzwerkzugang Dateivorgänge ohne Zugangsdaten auslösen. Splunk zufolge lässt sich die Lücke von einem nicht authentifizierten Angreifer ausnutzen, um beliebige Dateien anzulegen oder zu kürzen.
Betroffen sind laut Hersteller Splunk-Enterprise-Versionen 10.2 vor 10.2.4 sowie 10.0 vor 10.0.7. Splunk, das zu Cisco gehört, meldete die Verfügbarkeit von Sicherheitsupdates am 10. Juni.
Nur zwei Tage nach der Veröffentlichung zeigten Forscher des Cybersicherheitsunternehmens WatchTowr, wie sich CVE-2026-20253 für eine Remotecodeausführung ohne Authentifizierung ausnutzen lässt. Die Forscher veröffentlichten dazu technische Details und Proof-of-Concept-Code.
Am 18. Juni bestätigte Splunk dann, dass die Schwachstelle bereits ausgenutzt wird. Das Splunk Product Security Incident Response Team habe im Juni 2026 von einer begrenzten Ausnutzung der Lücke erfahren, teilte das Unternehmen mit. Splunk empfahl Kunden nachdrücklich, auf eine behobene Softwareversion zu aktualisieren, um die Schwachstelle zu beseitigen.
Öffentlich verfügbare Informationen über konkrete Angriffe mit CVE-2026-20253 scheint es bislang nicht zu geben. Der Bericht weist jedoch darauf hin, dass viele Unternehmen gefährdet sein könnten.
Ebenfalls am 18. Juni nahm CISA die Schwachstelle in ihren Katalog Known Exploited Vulnerabilities auf. Die Behörde wies US-Bundesbehörden an, das Problem bis zum 21. Juni zu beheben. Laut Bericht ist es die erste Splunk-Schwachstelle, die in CISA-Katalog der bekannten aktiv ausgenutzten Sicherheitslücken aufgenommen wurde.