Die Schwachstelle betrifft Splunk Enterprise und die Splunk Cloud Platform. Ursache ist die fehlerhafte Behandlung und unzureichende Isolierung temporärer Dateien innerhalb des Verzeichnisses, in dem die Software temporäre App-Dateien ablegt (apptemp). Dadurch kann ein angemeldeter Benutzer mit niedrigen Rechten – also jemand, der weder die Splunk-Rolle admin noch power besitzt – eine präparierte, schädliche Datei in dieses Verzeichnis hochladen. Über den Umweg dieser Datei lässt sich Schadcode zur Ausführung bringen und so eine Remote Code Execution erreichen. Brisant ist, dass dafür gerade keine hohen Berechtigungen nötig sind: Bereits ein einfaches Konto mit eingeschränkten Rechten genügt, um die Rollentrennung zu umgehen und Code auf dem System auszuführen. Betroffen sind sowohl die selbst betriebene Variante Splunk Enterprise als auch die als Dienst genutzte Splunk Cloud Platform.