Splunk - CVE-2026-20204

Date de publication : 17/04/2026

Il s'agit d'une vulnérabilité dans le composant Splunk Web de Splunk Enterprise et Splunk Cloud Platform.

Splunk Enterprise est une plateforme d'indexation, de recherche et d'analyse de données machine et de journaux d'événements. Elle est utilisée pour la supervision de sécurité, la détection de menaces et la gestion de la conformité des systèmes d'information.

Le répertoire temporaire $SPLUNK_HOME/var/run/splunk/apptemp est soumis à une isolation insuffisante et à une gestion incorrecte des fichiers temporaires. Un utilisateur faiblement privilégié, ne disposant ni du rôle admin ni du rôle power, peut y déposer un fichier malveillant via l'interface web. Ce fichier est ensuite exécuté dans le contexte du serveur Splunk.

Elle permet à un attaquant distant authentifié avec de faibles privilèges d'exécuter du code arbitraire sur le serveur.

CVE-2026-20204

[Score CVSS v3.1 : 7.1]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-377 : Insecure Temporary File

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Élevée
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Splunk Enterprise versions 10.2.0 jusqu'à 10.2.0 (antérieures à 10.2.1),
•   Splunk Enterprise versions 10.0.0 jusqu'à 10.0.4 (antérieures à 10.0.5),
•   Splunk Enterprise versions 9.4.0 jusqu'à 9.4.9 (antérieures à 9.4.10),
•   Splunk Enterprise versions 9.3.0 jusqu'à 9.3.10 (antérieures à 9.3.11),
•   Splunk Cloud Platform versions antérieures à 10.3.2512.5,
•   Splunk Cloud Platform versions antérieures à 10.2.2510.9,
•   Splunk Cloud Platform versions antérieures à 10.1.2507.19,
•   Splunk Cloud Platform versions antérieures à 10.0.2503.13,
• Splunk Cloud Platform versions antérieures à 9.3.2411.127.

Contournement provisoire

Désactiver Splunk Web via le fichier de configuration web.conf pour éliminer la surface d'attaque.

Solutions ou recommandations

•   Splunk Enterprise version 10.2.1 et supérieures
•   Splunk Enterprise version 10.0.5 et supérieures
•   Splunk Enterprise version 9.4.10 et supérieures
•   Splunk Enterprise version 9.3.11 et supérieures
•   Splunk Cloud Platform : correctifs déployés automatiquement par Splunk sur les instances gérées.