Splunk waarschuwt voor actief misbruik van kritiek lek in Splunk Enterprise

In dit artikel:

Softwarebedrijf Splunk waarschuwt dat een kritieke kwetsbaarheid in Splunk Enterprise (CVE-2026-20253) al actief wordt misbruikt. Splunk bracht op 10 juni beveiligingsupdates uit en meldde kort daarna dat er aanvallen plaatsvinden; het productbeveiligingsteam (PSIRT) roept klanten op de patches meteen te installeren. Ook het Amerikaanse cyberagentschap CISA rapporteert misbruik en verplicht Amerikaanse overheidsinstanties de kwetsbaarheid binnen drie dagen te verhelpen.

De fout maakt het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige bestanden aan te maken of te verwijderen op de Splunk-server. Onderzoekers van watchTowr demonstreerden met een proof‑of‑concept hoe een kwaadaardige database op het filesystem kan worden geplaatst en geladen, waarna een shell op het systeem verkregen kan worden — kort gezegd: remote code execution zonder inlog.

Splunk Enterprise wordt gebruikt om logs, telemetrie en events te indexeren en biedt toegang tot gevoelige operationele en securitygegevens; misbruik kan daarom ernstigere inbreuken en laterale beweging binnen netwerken mogelijk maken. Aanbevolen stappen: direct de door Splunk gepubliceerde updates toepassen, internet‑exposed Splunk‑instances geïsoleerd houden, en systemen loggen en scannen op indicatoren van compromittering.