A Splunk divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no Splunk Enterprise que pode permitir a execução remota de código (RCE) sem autenticação. Identificada como CVE-2026-20253, a falha recebeu pontuação 9,8 de 10 na escala CVSS, indicando risco crítico para organizações que utilizam a plataforma.
De acordo com a Splunk, a vulnerabilidade está relacionada a um endpoint de um serviço PostgreSQL integrado à plataforma que não implementava controles adequados de autenticação. Isso permite que atacantes acessíveis pela rede realizem operações arbitrárias em arquivos do sistema sem precisar de credenciais válidas. Em determinados cenários, essa capacidade pode ser explorada para alcançar execução remota de código.
A falha afeta versões específicas do Splunk Enterprise, incluindo as linhas 10.0.x e 10.2.x. Segundo a fabricante, os problemas foram corrigidos nas versões 10.0.7 e 10.2.4. As versões 9.3.x e 9.4.x não são afetadas por essa vulnerabilidade específica.
Pesquisadores de segurança alertam que a ausência de autenticação reduz significativamente a complexidade de exploração. Como o ataque pode ser realizado remotamente e sem interação do usuário, sistemas expostos à internet apresentam risco elevado de comprometimento caso não sejam atualizados rapidamente.
Além da CVE-2026-20253, a Splunk publicou correções para outras vulnerabilidades relevantes. Entre elas está a CVE-2026-20251, uma falha de desserialização insegura no Splunk Secure Gateway que pode permitir execução remota de código por usuários com baixos privilégios.
O Splunk é amplamente utilizado por empresas e equipes de segurança para coleta, indexação e análise de logs, monitoramento de infraestrutura e operações de SIEM (Security Information and Event Management). Dessa forma, vulnerabilidades críticas na plataforma podem ter impacto significativo sobre ambientes corporativos e operações de segurança.
Especialistas recomendam que administradores priorizem a aplicação dos patches disponibilizados pela Splunk, além de restringir a exposição de instâncias à internet, monitorar atividades suspeitas e revisar controles de acesso. Ambientes que não puderem ser atualizados imediatamente devem implementar medidas compensatórias para reduzir a superfície de ataque.
O caso reforça a importância da gestão contínua de vulnerabilidades em ferramentas críticas de observabilidade e segurança. Plataformas como o Splunk costumam concentrar dados sensíveis e visibilidade operacional de toda a infraestrutura, tornando-se alvos de alto valor para cibercriminosos e grupos de espionagem digital.
