Splunk patcht mehrere Schwachstellen, die Denial-of-Service-Angriffe ermöglichen und sensible Daten gefährden

Der Fehler resultiert aus einer unzureichenden Zugriffskontrolle aufgrund einer falsch konfigurierten Rollenvererbung. Konkret ändert das Toolkit die Standardrolle „user" über eine authorize.conf-Datei mit einem srchFilter-Eintrag.

Splunk vererbte Suchfilter mit dem ODER-Operator kombiniert, kann diese Konfiguration restriktivere Filter, die auf benutzerdefinierte Rollen angewendet wurden, überschreiben.

Infolgedessen können Benutzer mit geringen Berechtigungen, die nicht über die Rollen „admin" oder „power" verfügen, auf sensible Daten zugreifen, die eigentlich eingeschränkt sein sollten. Splunk hat dieses Problem Version 5.7.3 behoben.

Technik und Auswirkungen

Als vorübergehende Gegenmaßnahme können Organisationen das Toolkit deaktivieren oder die Datei authorization.conf manuell bearbeiten, um die Einstellung srchFilter zu entfernen oder zu überschreiben.

Diese Workaround-Lösung kann jedoch dazu führen, dass der Index ai_agent_run_history_index einem breiteren Zugriff ausgesetzt wird, was zusätzliche Einschränkungen erforderlich macht. Sensible Datenexposition über Logs (CVE-2026-20239) Eine Schweregrad-hohe Sicherheitslücke (CVSS 7.5) betrifft Splunk Enterprise und Splunk Cloud Platform.

Die Ursache liegt in einer unzureichenden Ausgabe-Sanitisierung Komponente TcpChannel, der bei Sockelfehlern den gesamten Eingabe-/Ausgabepuffer protokolliert. Angreifer mit Zugriff auf den Index _internal können sensible Informationen wie Sitzungs-Cookies und HTTP-Antwortkörper aus Protokolldateien extrahieren.

Sicherheitslage und Risiko

Dies erhöht das Risiko Sitzungsübernahmen erheblich. Betroffene Versionen sind: Splunk Enterprise unter 10.2.2 und 10.0.5. Die Splunk Cloud Platform ist Versionen vor mehreren gepatchten Releases in unterstützten Zweigen betroffen.

Splunk empfiehlt, auf die neuesten gepatchten Versionen zu aktualisieren und den Zugriff auf den Index _internal ausschließlich auf administrative Rollen zu beschränken.

Denial-of-Service Splunk Archiver (CVE-2026-20240) Ein weiteres hochkritisches Problem (CVSS 7,1) betrifft die Splunk Archiver-Anwendung aufgrund unzureichender Eingabevalidierung Skript coldToFrozen.sh. Dieses Skript wird zur Verwaltung -Übergängen verwendet.

Sicherheitslage und Risiko

Ein Benutzer mit niedrigen Berechtigungen kann diese Schwachstelle ausnutzen, indem er willkürliche Dateipfade bereitstellt, wodurch er kritische Verzeichnisse umbenennen kann. Dies kann dazu führen, dass die Splunk-Instanz nicht mehr funktionsfähig ist und einen Denial-of-Service-Zustand verursacht.

Die Verwundbarkeit betrifft mehrere Versionen (vor 10.2.2, 10.0.5, 9.4.11 und 9.3.12) sowie Splunk Cloud Platform-Implementierungen. Organisationen werden aufgefordert, Patches unverzüglich anzuwenden oder die Splunk Archiver-Anwendung abzuschalten, falls sie nicht benötigt wird.

Das Deaktivieren der App kann jedoch automatisierte Datenarchivierungsprozesse unterbrechen.

Sicherheitslage und Risiko

Splunk fordert die Benutzer dringend auf: Alle betroffenen Komponenten auf die neuesten sicheren Versionen zu aktualisieren, den Zugriff auf sensible Indizes wie _internal einzuschränken, rollenbasierte Zugriffskontrollen und vererbte Berechtigungen zu überprüfen sowie anfällige Apps zu deaktivieren, wenn Patches nicht sofort angewendet werden können.

Diese Schwachstellen verdeutlichen die Risiken, die mit falsch konfigurierten Zugriffskontrollen, unzureichender Eingabevalidierung und unsicheren Protokollierungspraktiken einhergehen. Eine rechtzeitige Patchung und eine ordnungsgemäße Konfigurationsverwaltung bleiben entscheidend, Splunk-Umgebungen vor Ausnutzung zu schützen.

Abi ist Sicherheitsredakteurin und Mitautorin bei