Uma cadeia crítica de vulnerabilidades no Splunk Enterprise pode permitir execução remota de código antes da autenticação, a partir de falhas no serviço PostgreSQL Sidecar usado pela plataforma.
O problema foi identificado como CVE-2026-20253, recebeu pontuação CVSS 9.8 e afeta o Splunk Enterprise 10 e versões posteriores.
A falha está relacionada a um componente interno introduzido em versões recentes do Splunk. Embora nem sempre esteja habilitado em instalações locais, o serviço fica ativo por padrão em ambientes do Splunk Enterprise na AWS, o que aumenta a exposição de implantações em nuvem.
Segundo os pesquisadores, o serviço vulnerável escuta em localhost, mas pode ser alcançado externamente por meio da interface web principal do Splunk. Com isso, um invasor poderia enviar requisições HTTP criadas especificamente para endpoints internos de backup e restauração.
O ponto central do problema é a ausência de validação adequada de autenticação. A API aceita credenciais inválidas ou vazias e encaminha operações para utilitários do PostgreSQL, como pg_dump e pg_restore, permitindo acionar funções sensíveis sem acesso legítimo.
A recomendação é aplicar imediatamente as correções disponibilizadas pela Splunk, especialmente em ambientes na AWS. Administradores também devem monitorar acessos a endpoints internos, limitar exposição desnecessária da interface web e revisar a integridade de arquivos críticos da instalação.



