CVE-2026-20253

Суть уязвимости

CVE-2026-20253 представляет собой критическую уязвимость, связанную с отсутствием аутентификации для важной функции в Splunk Enterprise.

Проблема локализована в эндпоинте вспомогательной службы PostgreSQL (PostgreSQL sidecar service).

Неаутентифицированный злоумышленник может отправить специально сформированный запрос к этому эндпоинту, что позволит ему создавать новые или перезаписывать (усекать) существующие произвольные файлы в системе с правами процесса Splunk. Это может привести к отказу в обслуживании (DoS), повреждению конфигурационных файлов или к удаленному выполнению кода (RCE).

Как исправить

Основным способом устранения уязвимости является обновление Splunk Enterprise до актуальной версии, в которой данная проблема исправлена.

Остановите службу Splunk:

/opt/splunk/bin/splunk stop

Установите обновленный пакет (пример для RPM-дистрибутивов):

rpm -Uvh splunk-updated-package.rpm

Запустите службу Splunk и примите лицензионное соглашение:

/opt/splunk/bin/splunk start --accept-license

Временные меры

Если немедленное обновление системы невозможно, необходимо ограничить сетевой доступ к эндпоинту службы PostgreSQL sidecar.

Настройте межсетевой экран (iptables) для блокировки внешних запросов к порту службы PostgreSQL sidecar (по умолчанию используется порт 5432, если не изменен в конфигурации), разрешив доступ только с локального интерфейса:

iptables -A INPUT -p tcp --dport 5432 ! -s 127.0.0.1 -j DROP

Сохраните правила фильтрации трафика:

iptables-save