Splunk Enterprise: Kritische Sicherheitslücken ermöglichen Angreifern die Ausführung bösartiger Skripte

Die schwerwiegendste dieser Lücken, katalogisiert unter der CVE-ID CVE-2026-20253, weist einen CVSS-Score von 9,8 auf. Sie betrifft Versionen 10.2.4 sowie unter 10.0.7. Das Sicherheitsproblem resultiert aus fehlenden Authentifizierungssteuerelementen an einem Endpunkt für den PostgreSQL-Sidecar-Service.

Dadurch können nicht authentifizierte Angreifer beliebige Dateien auf dem System erstellen oder löschen. Eine erfolgreiche Ausnutzung könnte zu einer vollständigen Kompromittierung des Systems, zur Zerstörung Persistenz von bösartigem Code führen, ohne dass eine Interaktion durch einen legitimen Benutzer erforderlich ist.

Zusätzlich wurde eine weitere Schwachstelle mit hoher Schweregrad identifiziert. CVE-2026-20258 mit einem CVSS-Score von 7,1 betrifft gespeichertes Cross-Site-Scripting (XSS) in den klassischen Dashboards. Ein Benutzer mit geringen Berechtigungen kann bösartiges JavaScript in HTML-Panelen dieser Dashboards einfügen.

Wird das Dashboard im Browser eines

Wird das Dashboard im Browser eines Opfers angezeigt, führt dies zur Ausführung des Skripts.

Die Ausnutzung dieser Lücke setzt jedoch Social Engineering voraus, da Angreifer Benutzer dazu verleiten müssen, eine speziell erstellte Anfrage zu öffnen. ## Weitere identifizierte Verwundbarkeiten und technische Details Splunk hat zudem eine Server-Side Request Forgery (SSRF)-Verwundbarkeit, katalogisiert als CVE-2026-20252, im PDF-Export-Funktion des Dashboard Studio behoben.

Diese Lücke hat einen CVSS-Score von 7,6. Durch sie können Angreifer Anfragen an interne Systeme senden, indem sie die Domänenvalidierung umgehen. Dies geschieht etwa durch speziell konstruierte Subdomains oder Umleitungs-Ketten. Die Folge kann die Offenlegung interner Dienste oder sensibler Daten sein.

Sicherheitslage und Risiko

Mehrere weitere Verwundbarkeiten mittlerer Schweregrad (CVE-2026-20254, CVE-2026-20255, CVE-2026-20256 und CVE-2026-20257) betreffen klassische Dashboards und gehen auf eine unzureichende Eingabevalidierung zurück. Diese Mängel ermöglichen die Datenexfiltration über CSS-Injektionen, protokoll-relative URLs und eine ungenügende Validierung externer Inhalte.

In diesen Szenarien können Angreifer mit geringen Berechtigungen bösartige Dashboards erstellen, die sensible Daten extrahieren, wenn sie höheren Berechtigungen aufgerufen werden. Ein konkretes Szenario sieht vor, dass ein Angreifer ein Dashboard erstellt, das eine versteckte Anfrage an einen externen Server enthält.

Ruft ein Administrator dieses Dashboard auf, können sensible Sitzungsdaten oder Tokens stumm an eine vom Angreifer kontrollierte Domain übertragen werden.

Sicherheitslage und Risiko

Alle identifizierten Schwachstellen betreffen primär Splunk Web-Komponenten und erfordern entweder eine gewisse Benutzerinteraktion oder eine Fehlkonfiguration, wie beispielsweise die Aktivierung unzureichende Einschränkung vertrauenswürdiger Domänen. ## Übersicht der betroffenen CVEs und Auswirkungen Die folgende Tabelle fasst die identifizierten Schwachstellen, ihre Schweregrade und die potenziellen Auswirkungen zusammen: | CVE-ID | Schweregrad (CVSS) | Schwachstelle | Auswirkung | |:--- |:--- |:--- |:--- | | CVE-2026-20253 | Kritisch (9,8) | Erstellung oder Verkürzung | Vollständige Kompromittierung der betroffenen Systeme | | CVE-2026-20252 | Hoch (7,6) | SSRF beim PDF-Export in Dashboard Studio | Zugriff auf interne Ressourcen und Offenlegung | | CVE-2026-20258 | Hoch (7,1) | Stored XSS im HTML-Panel des Classic Dashboards | Willkürliche Ausführung Opfers | | CVE-2026-20257 | Mittel (5,7) | Mangelhafte Validierung | Datenexfiltration an externe Domains | | CVE-2026-20256 | Mittel (5,7) | Mangelhafte Validierung | Datenexfiltration über Umleitungen | | CVE-2026-20255 | Mittel (5,7) | Mangelhafte Validierung für externen Inhalt | Datenexfiltration an nicht vertrauenswürdige Domains | | CVE-2026-20254 | Mittel (5,7) | Umgehung änkungen | Diebstahl | ## Patches und empfohlene Gegenmaßnahmen Splunk hat Patches veröffentlicht, die diese Probleme in allen unterstützten Versionen beheben.

Benutzer werden dringend aufgefordert, auf folgende Versionen zu aktualisieren: Splunk Enterprise 10.4.0, 10.2.4, 10.0.7, 9.4.12 sowie 9.3.13. Zudem sollten die entsprechenden Versionen der Splunk Cloud Platform aktualisiert werden. Als Gegenmaßnahmen sollten Organisationen Splunk Web deaktivieren, wenn dieser Dienst nicht benötigt wird.

Die Berechtigungen zur Dashboard-Erstellung sollten strikt eingeschränkt werden, und es müssen strenge Richtlinien für vertrauenswürdige Domänen durchgesetzt werden. Das Deaktivieren der Einstellung „dashboard_html_allow_embeddable_content" verringert zudem das Risiko einer XSS-Exploitation.

Sicherheitslage und Risiko

Da für diese Schwachstellen keine Erkennungssignaturen bereitgestellt wurden, gewinnen rechtzeitige Patches und die Absicherung der Konfiguration an Bedeutung. Aufgrund der weit verbreiteten Nutzung der Log-Analyse könnte eine erfolgreiche Ausnutzung Angreifern Zugriff auf hochsensible operative und sicherheitsrelevante Daten gewähren.

Dies macht die Schwachstellen in Unternehmensumgebungen besonders kritisch. ### SvyTech-Einordnung Die identifizierten Lücken betreffen Kernkomponenten der Log-Analyse und Sicherheitsüberwachung.

Besonders kritisch ist die Kombination aus einer Lücke mit CVSS 9,8, die keine Authentifizierung erfordert, und weiteren Fehlern, die durch Social Engineering oder Fehlkonfigurationen ausgenutzt werden können.

Sicherheitslage und Risiko

Da Splunk oft zur Überwachung der eigenen Sicherheitsumgebung eingesetzt wird, stellt eine Kompromittierung eine direkte Gefahr für die gesamte Sicherheitsarchitektur dar. ### Was Leser daraus mitnehmen Administratoren müssen umgehend auf die genannten Patches aktualisieren.

Organisationen sollten prüfen, ob Splunk Web notwendig ist und diesen bei Nichtgebrauch deaktivieren. Zudem ist die Einstellung „dashboard_html_allow_embeddable_content" zu überprüfen und bei Bedarf zu deaktivieren, um das Risiko.