9,8/10: ciberdelincuentes explotan una vulnerabilidad crítica en la versión empresarial de Splunk
Más de 1.400 instancias de Splunk permanecen expuestas en Internet en medio de ataques cibernéticos activos.
Ya se ha empezado a explotar una vulnerabilidad crítica en Splunk Enterprise en ataques, y en Internet siguen disponibles cientos de instancias públicas del producto.
El problema recibió el identificador CVE-2026-20253 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H — 9.8 Critical). La vulnerabilidad afecta a Splunk Enterprise 10.2 hasta la versión 10.2.4 y a la rama 10.0 hasta la versión 10.0.7. Splunk Enterprise 9.4 y versiones anteriores no están afectadas por este problema.
El fallo está relacionado con un servicio auxiliar de PostgreSQL. El servicio no verificaba la autenticidad, por lo que un usuario con acceso de red a una instancia vulnerable podía, sin credenciales, crear archivos arbitrarios o truncar los ya existentes. Ese escenario es peligroso no solo para la integridad de los datos, sino también para la disponibilidad del sistema.
El equipo de respuesta Splunk PSIRT informó que en junio de 2026 recibió información de que la vulnerabilidad se está explotando de forma limitada. Tras ello, CISA añadió CVE-2026-20253 al catálogo de vulnerabilidades explotadas conocidas. Para las agencias federales de EE. UU. esto implica la obligación de corregir con prioridad el problema en los sistemas accesibles desde Internet.
Según Shadowserver, en la red se registran más de 1.400 instancias públicas de Splunk. La mayor parte está en Norteamérica, donde se han detectado 952 sistemas; 223 más se alojan en Europa. No se sabe, sin embargo, cuántas de esas instancias son realmente vulnerables a los ataques en curso.
Splunk recomienda actualizar Splunk Enterprise a las versiones 10.4.0, 10.2.4, 10.0.7 o posteriores. Si no es posible aplicar la actualización de inmediato, los administradores pueden desactivar el servicio auxiliar de PostgreSQL. Para ello hay que añadir en el archivo $SPLUNK_HOME/etc/system/local/server.conf la sección [postgres] con el parámetro disabled = true, y después reiniciar Splunk Enterprise.
La empresa advierte que esta solución temporal solo debe aplicarse tras verificar las dependencias. Si se desactiva PostgreSQL, se verá afectado el funcionamiento de Edge Processor, OpAmp y los pipelines de datos SPL2, y también pueden verse perjudicados procesos auxiliares relacionados. Aun así, según Splunk, el sistema seguirá realizando búsquedas básicas, indexando datos y mostrando los paneles de control.