Splunk - CVE-2026-20239
Date de publication :
Date de mise à jour :
Dans certaines versions de Splunk Enterprise et Splunk Cloud Platform, un utilisateur disposant d’un rôle autorisé à accéder à l’index interne _internal peut consulter des cookies de session et des corps de réponse contenant des données sensibles stockées dans les journaux, entraînant une divulgation d’informations confidentielles.
Splunk Enterprise et Splunk Cloud Platform sont des plateformes d’analyse, de supervision et de corrélation de logs et d’événements, utilisées pour l’observabilité, la sécurité et l’exploitation des systèmes d’information.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Atteinte à la confidentialité des données
Exploitation
CWE-532 : Insertion of Sensitive Information into Log File
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Élevée
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : En attente d’information
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Contournement provisoire
Restreindre strictement l’accès en lecture à l’index interne _internal aux seuls rôles nécessaires, en retirant cet accès aux comptes ou rôles non disponibles.
Solutions ou recommandations
Mettre à jour Splunk Enterprise vers la version 10.2.2 ou ultérieure, ou 10.0.5 ou ultérieure.
Mettre à jour Splunk Cloud Platform vers les versions 10.3.2512.8, 10.2.2510.11, 10.1.2507.21 ou 10.0.2503.13 (ou ultérieures).