{"id":1182,"date":"2026-06-20T08:51:18","date_gmt":"2026-06-20T11:51:18","guid":{"rendered":"https:\/\/jrtx.com.br\/blog\/2026\/06\/20\/cve-2026-20253-falha-critica-no-splunk-enterprise-com-explor\/"},"modified":"2026-06-20T08:51:18","modified_gmt":"2026-06-20T11:51:18","slug":"cve-2026-20253-falha-critica-no-splunk-enterprise-com-explor","status":"publish","type":"post","link":"https:\/\/jrtx.com.br\/blog\/2026\/06\/20\/cve-2026-20253-falha-critica-no-splunk-enterprise-com-explor\/","title":{"rendered":"CVE-2026-20253: Falha Cr\u00edtica no Splunk Enterprise com Explora\u00e7\u00e3o Ativa"},"content":{"rendered":"
\n \u26a0\ufe0f<\/span><\/p>\n
\n

ALERTA CISA KEV \u2014 Explora\u00e7\u00e3o Ativa Confirmada<\/p>\n

Esta vulnerabilidade est\u00e1 sendo ativamente explorada<\/strong> em ambientes reais. Aplique o patch ou mitiga\u00e7\u00e3o IMEDIATAMENTE<\/strong>.<\/p>\n<\/p><\/div>\n<\/div>\n

Neste s\u00e1bado, 20 de junho de 2026, a comunidade de seguran\u00e7a da informa\u00e7\u00e3o foi colocada em alerta m\u00e1ximo com a confirma\u00e7\u00e3o de explora\u00e7\u00e3o ativa da vulnerabilidade CVE-2026-20253 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> no Splunk Enterprise. Esta falha, classificada com severidade alta e catalogada como zero-day, representa um dos riscos mais significativos para a infraestrutura corporativa global neste momento. A CISA adicionou a vulnerabilidade ao seu cat\u00e1logo KEV (Known Exploited Vulnerabilities) com prazo de remedia\u00e7\u00e3o urgente, sinalizando que atores de amea\u00e7a j\u00e1 est\u00e3o se aproveitando da brecha para comprometer ambientes em produ\u00e7\u00e3o.<\/p>\n

O cen\u00e1rio \u00e9 particularmente grave porque o Splunk Enterprise \u00e9 uma plataforma central de observabilidade e SIEM (Security Information and Event Management) utilizada por milhares de organiza\u00e7\u00f5es para monitorar sua seguran\u00e7a. Uma vulnerabilidade que permite a um invasor n\u00e3o autenticado criar ou truncar arquivos arbitr\u00e1rios atrav\u00e9s de um endpoint do servi\u00e7o sidecar do PostgreSQL subverte completamente a cadeia de confian\u00e7a do sistema. Quando o pr\u00f3prio guardi\u00e3o \u00e9 comprometido, toda a estrat\u00e9gia de detec\u00e7\u00e3o e resposta a incidentes fica cega.<\/p>\n

O alerta de CVE-2026-20253 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> chega em um momento em que as equipes de seguran\u00e7a j\u00e1 est\u00e3o sobrecarregadas com um volume recorde de patches cr\u00edticos. A Oracle liberou 245 patches de seguran\u00e7a de alta prioridade este m\u00eas, a Atlassian e a pr\u00f3pria Splunk divulgaram corre\u00e7\u00f5es para vulnerabilidades severas, e o cen\u00e1rio de amea\u00e7as continua se sofisticando com grupos como o Icarus expandindo suas v\u00edtimas e o ransomware Gentlemen RaaS utilizando frameworks avan\u00e7ados de evas\u00e3o de EDR. Em meio a esse turbilh\u00e3o, a CVE-2026-20253 se destaca por j\u00e1 estar sendo explorada ativamente, o que elimina qualquer janela de planejamento para as organiza\u00e7\u00f5es afetadas.<\/p>\n

Na JRT Technology Solutions, nosso SOC implementou monitoramento refor\u00e7ado para todos os clientes que utilizam Splunk Enterprise, e nossa equipe de gest\u00e3o de vulnerabilidades j\u00e1 est\u00e1 executando varreduras direcionadas para identificar inst\u00e2ncias expostas. Nossa recomenda\u00e7\u00e3o \u00e9 clara: esta corre\u00e7\u00e3o precisa ser aplicada nas pr\u00f3ximas horas, n\u00e3o nos pr\u00f3ximos dias. Vamos dissecar tecnicamente esta vulnerabilidade, entender o vetor de ataque e apresentar um plano de a\u00e7\u00e3o imediato para proteger seus ambientes.<\/p>\n

O que \u00e9 a CVE-2026-20253<\/h3>\n\n\n\n\n\n\n\n\n\n\n\n\n
Campo<\/th>\nDetalhe<\/th>\n<\/tr>\n<\/thead>\n
CVE ID<\/td>\nCVE-2026-20253<\/td>\n<\/tr>\n
CVSS Score<\/td>\n8.2 \u2014 HIGH<\/td>\n<\/tr>\n
Vetor de Ataque<\/td>\nNetwork \u2014 Acesso remoto via endpoint sidecar PostgreSQL<\/td>\n<\/tr>\n
Produtos Afetados<\/td>\nSplunk Enterprise 9.0.x, 9.1.x, 9.2.x, 9.3.x (anteriores ao patch)<\/td>\n<\/tr>\n
Tipo de Vulnerabilidade<\/td>\nCWE-306 \u2014 Missing Authentication for Critical Function<\/td>\n<\/tr>\n
Data de Publica\u00e7\u00e3o<\/td>\n20\/06\/2026<\/td>\n<\/tr>\n
Patch Dispon\u00edvel<\/td>\nSim \u2014 Splunk Enterprise 9.0.11, 9.1.5, 9.2.3, 9.3.1<\/td>\n<\/tr>\n
Explora\u00e7\u00e3o Ativa<\/td>\n\u26a0\ufe0f SIM \u2014 CISA KEV confirmada<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A CVE-2026-20253 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> representa uma falha de autentica\u00e7\u00e3o ausente para fun\u00e7\u00e3o cr\u00edtica no Splunk Enterprise. Em termos simples, existe um endpoint no servi\u00e7o sidecar do PostgreSQL que deveria exigir autentica\u00e7\u00e3o pr\u00e9via para ser acessado, mas essa verifica\u00e7\u00e3o simplesmente n\u00e3o existe. Isso significa que qualquer pessoa com acesso de rede \u00e0 inst\u00e2ncia pode chamar essa fun\u00e7\u00e3o diretamente, sem apresentar credenciais, tokens ou qualquer forma de identifica\u00e7\u00e3o. O endpoint permite opera\u00e7\u00f5es de cria\u00e7\u00e3o e truncamento de arquivos arbitr\u00e1rios no sistema de arquivos do servidor, o que abre um leque extremamente perigoso de possibilidades para um invasor.<\/p>\n

O sidecar do PostgreSQL no Splunk Enterprise \u00e9 um componente auxiliar que gerencia a comunica\u00e7\u00e3o e o estado do banco de dados interno da plataforma. Normalmente, esse servi\u00e7o opera nos bastidores, acess\u00edvel apenas atrav\u00e9s dos canais autenticados da aplica\u00e7\u00e3o principal. Entretanto, a falha exp\u00f5e um endpoint espec\u00edfico que aceita requisi\u00e7\u00f5es n\u00e3o autenticadas, permitindo que um ator externo manipule arquivos diretamente, seja para injetar c\u00f3digo malicioso, corromper dados de configura\u00e7\u00e3o ou criar arquivos que escalem privil\u00e9gios dentro do sistema.<\/p>\n

O CWE-306 \u00e9 uma categoria particularmente perigosa porque explora n\u00e3o uma falha de implementa\u00e7\u00e3o complexa, mas uma omiss\u00e3o fundamental de controle de acesso. Quando uma fun\u00e7\u00e3o cr\u00edtica \u00e9 exposta sem autentica\u00e7\u00e3o, a superf\u00edcie de ataque se expande drasticamente, e a barreira de entrada para explora\u00e7\u00e3o \u00e9 reduzida a praticamente zero. Qualquer scanner de rede automatizado ou bot de reconhecimento pode identificar e explorar este endpoint em quest\u00e3o de segundos ap\u00f3s a descoberta da inst\u00e2ncia vulner\u00e1vel.<\/p>\n

An\u00e1lise T\u00e9cnica Detalhada da Falha<\/h3>\n

Para entender a gravidade desta vulnerabilidade, \u00e9 necess\u00e1rio mergulhar na arquitetura interna do Splunk Enterprise quando configurado com PostgreSQL como banco de dados de backend. O sidecar service atua como um proxy de gerenciamento entre o Splunk e a inst\u00e2ncia PostgreSQL, facilitando opera\u00e7\u00f5es como inicializa\u00e7\u00e3o, backup, replica\u00e7\u00e3o e manuten\u00e7\u00e3o. Normalmente, todas as chamadas a este sidecar s\u00e3o intermediadas pelo Splunk Web ou pelos componentes de busca, que exigem autentica\u00e7\u00e3o via token ou sess\u00e3o estabelecida.<\/p>\n

A falha reside em um endpoint REST espec\u00edfico do sidecar que, por design inadequado, n\u00e3o implementa nenhum mecanismo de verifica\u00e7\u00e3o de identidade. O endpoint aceita requisi\u00e7\u00f5es POST e PUT com par\u00e2metros que especificam caminhos de arquivo e conte\u00fado. Como o sidecar opera com as mesmas permiss\u00f5es do processo Splunk \u2014 que frequentemente \u00e9 executado com privil\u00e9gios elevados para acessar logs e arquivos de sistema \u2014 as opera\u00e7\u00f5es de arquivo s\u00e3o executadas com o contexto de seguran\u00e7a do pr\u00f3prio servi\u00e7o.<\/p>\n

Do ponto de vista t\u00e9cnico, a vulnerabilidade se manifesta em tr\u00eas camadas sobrepostas de exposi\u00e7\u00e3o:<\/p>\n

    \n
  1. Camada de rede:<\/strong> O endpoint sidecar \u00e9 vinculado a todas as interfaces de rede por padr\u00e3o (0.0.0.0), aceitando conex\u00f5es de qualquer origem que tenha rota TCP para a porta configurada (geralmente 8191 ou configura\u00e7\u00e3o personalizada).<\/li>\n
  2. Camada de aplica\u00e7\u00e3o:<\/strong> N\u00e3o h\u00e1 valida\u00e7\u00e3o de cabe\u00e7alhos HTTP, tokens JWT, cookies de sess\u00e3o ou certificados de cliente. Uma requisi\u00e7\u00e3o simples com corpo JSON ou multipart \u00e9 processada integralmente.<\/li>\n
  3. Camada de sistema de arquivos:<\/strong> O path traversal \u00e9 aceito, permitindo que o invasor especifique caminhos fora do diret\u00f3rio de dados do PostgreSQL, potencialmente alcan\u00e7ando diret\u00f3rios de configura\u00e7\u00e3o do Splunk, bin\u00e1rios, scripts de inicializa\u00e7\u00e3o ou at\u00e9 mesmo arquivos do sistema operacional.<\/li>\n<\/ol>\n

    O resultado \u00e9 uma vulnerabilidade que combina falha de autentica\u00e7\u00e3o com capacidade de manipula\u00e7\u00e3o arbitr\u00e1ria de arquivos, um coquetel que raramente fica sem explora\u00e7\u00e3o ativa por mais de algumas horas ap\u00f3s a divulga\u00e7\u00e3o p\u00fablica. A complexidade de ataque \u00e9 baixa, n\u00e3o requer intera\u00e7\u00e3o do usu\u00e1rio e o impacto na integridade e confidencialidade \u00e9 avaliado como alto pelo CVSS 3.1, resultando no score de 8.2.<\/p>\n

    Aprofundando o aspecto do sidecar: este componente foi introduzido para melhorar a resili\u00eancia do Splunk em ambientes de alta disponibilidade, gerenciando failovers e consist\u00eancia de dados. Por\u00e9m, a pressa em entregar funcionalidades de clustering resultou em um endpoint de manuten\u00e7\u00e3o que escapou ao ciclo normal de revis\u00e3o de seguran\u00e7a. Esta \u00e9 a cl\u00e1ssica hist\u00f3ria de d\u00e9bito t\u00e9cnico se transformando em incidente de seguran\u00e7a: uma API interna que “ningu\u00e9m de fora usaria” se torna o vetor prim\u00e1rio de comprometimento da infraestrutura.<\/p>\n

    Produtos e Vers\u00f5es Afetados pela CVE-2026-20253<\/h3>\n

    A CVE-2026-20253 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> afeta um espectro significativo de vers\u00f5es do Splunk Enterprise, abrangendo as branches mais utilizadas em ambientes corporativos. \u00c9 crucial verificar n\u00e3o apenas a vers\u00e3o principal, mas tamb\u00e9m a configura\u00e7\u00e3o do sidecar PostgreSQL, pois inst\u00e2ncias que utilizam o banco de dados padr\u00e3o (embedded) podem ter o componente presente mas n\u00e3o ativo por padr\u00e3o \u2014 o que n\u00e3o elimina o risco se a funcionalidade for habilitada posteriormente.<\/p>\n

    Lista de vers\u00f5es comprovadamente vulner\u00e1veis:<\/p>\n