A Splunk divulgou patches para corrigir uma vulnerabilidade crítica de execução remota de código no Splunk Enterprise e Splunk Cloud Platform. A falha, rastreada como CVE-2026-20204 com pontuação CVSS 7.1, permite que usuários com privilégios baixos executem código malicioso no contexto da aplicação.
Mecanismo da vulnerabilidade
A vulnerabilidade explora o manuseio inadequado de arquivos temporários no diretório $SPLUNK_HOME/var/run/splunk/apptemp. O sistema falha em validar adequadamente o conteúdo dos arquivos enviados e não implementa isolamento suficiente entre uploads de diferentes usuários.
Usuários sem roles administrativos — ou seja, aqueles que não possuem privilégios admin ou power — conseguem fazer upload de arquivos maliciosos para o diretório temporário, contornando os controles de segurança normais da aplicação. Uma vez processado pelo Splunk, o código é executado no contexto do processo principal.
Cadeia de ataque e indicadores
O ataque inicia quando um usuário com credenciais válidas, mas privilégios limitados, acessa a interface web ou API do Splunk. O atacante então envia um arquivo especialmente preparado para o diretório apptemp, explorando a falta de validação. Com a execução remota estabelecida, torna-se possível criar backdoors, modificar configurações e acessar dados sensíveis armazenados no sistema.
Organizações devem monitorar uploads incomuns no diretório $SPLUNK_HOME/var/run/splunk/apptemp/, atividade atípica de usuários não-privilegiados e execução de processos não autorizados originados desta localização. Modificações inesperadas em arquivos de configuração também podem indicar comprometimento.
Versões afetadas e correções
No Splunk Enterprise, a vulnerabilidade afeta todas as versões anteriores a 10.2.1, 10.0.5, 9.4.10 e 9.3.11. Para corrigir o problema, administradores devem atualizar para estas versões ou superiores.
No Splunk Cloud Platform, estão vulneráveis as versões abaixo de 10.4.2603.0, 10.3.2512.5, 10.2.2510.9, 10.1.2507.19, 10.0.2503.13 e 9.3.2411.127. Os patches estão disponíveis nestas versões específicas.
Contexto da descoberta
A CVE-2026-20204 foi reservada pela Cisco em 8 de outubro de 2025 e adicionada aos bancos de dados de ameaças em 15 de abril de 2026. A plataforma OffSeq Threat Radar registrou 14 visualizações da análise técnica, indicando interesse moderado da comunidade de segurança.
Como medidas compensatórias até a aplicação dos patches, especialistas recomendam restringir o acesso ao diretório apptemp, limitar roles de usuários apenas a pessoal confiável e implementar monitoramento reforçado para uploads de arquivos suspeitos. A natureza da vulnerabilidade a torna especialmente perigosa em ambientes onde usuários internos possam ter motivações maliciosas ou onde credenciais de baixo privilégio possam ter sido comprometidas.