Splunk - CVE-2026-20163
Date de publication :
Il s’agit d’une vulnérabilité dans le point d’accès REST /splunkd/__upload/indexing/preview de Splunk Enterprise et Splunk Cloud Platform.
Splunk Enterprise et Splunk Cloud Platform sont des solutions de collecte, d’indexation, de recherche et d’analyse de journaux et d’événements, largement utilisées pour l’observabilité, la supervision et les usages SOC/SIEM.
Lors de la prévisualisation de fichiers téléversés avant indexation, le paramètre unarchive_cmd n’est pas correctement assaini. Un utilisateur disposant d’un rôle contenant la capacité edit_cmd peut alors faire interpréter des commandes système arbitraires par le service, dans un contexte d’attaque réseau sans interaction utilisateur.
Elle permet l’exécution de commandes shell arbitraires sur le système affecté.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Exécution de code arbitraire (à distance)
Exploitation
CWE-77 : Improper Neutralization of Special Elements used in a Command ('Command Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur à privilège
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Splunk Enterprise versions 10.0.0 à 10.0.3, 9.4.0 à 9.4.8 et 9.3.0 à 9.3.9
• Splunk Cloud Platform versions antérieures à 10.2.2510.5, 10.0.2503.12, 10.1.2507.16 et 9.3.2411.124.