Splunk - CVE-2026-20296

Date de publication :

Il s'agit d'une vulnérabilité de type Cross-Site Request Forgery (CSRF) affectant les points de terminaison du Deployment Server au sein de Splunk Web.

Splunk Enterprise est une plateforme logicielle de collecte, d'indexation et d'analyse de données machine à grande échelle, utilisée pour la supervision de sécurité, le monitoring applicatif et la corrélation d'événements dans des environnements SOC/CERT.

Ces endpoints ne valident pas les jetons CSRF sur les requêtes de type GET, et les entrées fournies par l'appelant ne sont pas correctement neutralisées avant d'être insérées dans une recherche SPL (Search Processing Language). Un attaquant peut piéger, via hameçonnage, un utilisateur détenant la capacité list_deployment_server pour l'amener à exécuter, à son insu, une recherche SPL arbitraire. Cette recherche s'exécute alors avec les privilèges du compte splunk-system-user.

Elle permet un accès aux identifiants stockés et aux données indexées de l'instance Splunk.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Atteinte à la confidentialité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-352 : Cross-Site Request Forgery (CSRF)

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Splunk Enterprise versions 10.4.0 (branche 10.4.x)
•   Splunk Enterprise versions antérieures à 10.2.5 (branche 10.2.x)
•   Splunk Enterprise versions antérieures à 10.0.8 (branche 10.0.x)
•   Splunk Enterprise versions antérieures à 9.4.13 (branche 9.4.x)
•   Splunk Cloud Platform versions antérieures à 10.5.2605.0
•   Splunk Cloud Platform versions antérieures à 10.4.2604.7
•   Splunk Cloud Platform versions antérieures à 10.3.2512.16
•   Splunk Cloud Platform versions antérieures à 10.2.2510.18
•   Splunk Cloud Platform versions antérieures à 10.1.2507.24

Contournement provisoire

Pour toutes les branches Splunk Enterprise concernées : désactiver Splunk Web, la vulnérabilité n'affectant que les instances où ce composant est actif

Solutions ou recommandations

•   Splunk Enterprise version 10.4.1 et supérieures (branche 10.4.x)
•   Splunk Enterprise version 10.2.5 et supérieures (branche 10.2.x)
•   Splunk Enterprise version 10.0.8 et supérieures (branche 10.0.x)
•   Splunk Enterprise version 9.4.13 et supérieures (branche 9.4.x)
•   Splunk Cloud Platform version 10.5.2605.0 et supérieures
•   Splunk Cloud Platform version 10.4.2604.7 et supérieures
•   Splunk Cloud Platform version 10.3.2512.16 et supérieures
•   Splunk Cloud Platform version 10.2.2510.18 et supérieures
•   Splunk Cloud Platform version 10.1.2507.24 et supérieures