A CISA alertou que uma vulnerabilidade crítica no Splunk Enterprise está sendo explorada em ataques reais. A falha, identificada como CVE-2026-20253, afeta um componente interno ligado ao serviço PostgreSQL Sidecar da plataforma. O problema foi incluído no catálogo de vulnerabilidades exploradas conhecidas da agência em 18 de junho de 2026.
A inclusão indica que a falha já deixou de ser apenas um risco teórico e deve ser tratada como prioridade por organizações que usam o Splunk. A vulnerabilidade ocorre por falta de autenticação em uma função sensível do produto. Com isso, um invasor sem credenciais válidas pode interagir com um endpoint vulnerável e realizar ações que normalmente deveriam exigir controle de acesso.
A exploração bem-sucedida permite criar ou truncar arquivos arbitrários em sistemas afetados. Esse tipo de ação pode causar interrupções operacionais, afetar registros de segurança ou servir como etapa para ataques mais amplos dentro do ambiente. Instâncias expostas à internet representam maior risco, já que os atacantes não precisam de login para tentar explorar a falha.
Embora não haja confirmação pública de campanhas de ransomware associadas ao caso, o impacto potencial é considerado elevado. A CISA determinou que agências federais civis dos Estados Unidos corrijam a falha até 21 de junho de 2026, prazo curto que reforça a urgência da atualização.
Empresas privadas também devem avaliar rapidamente se possuem implantações vulneráveis. Caso a atualização não possa ser aplicada imediatamente, a recomendação é restringir o acesso ao Splunk Enterprise e considerar a desativação temporária de sistemas vulneráveis até que possam ser protegidos.
