Splunk Enterprise CVE-2026-20253 exploitee : correctif avant le 21 juin

Si vous utilisez Splunk Enterprise, des attaquants exploitent deja la CVE-2026-20253. La faille est une absence d’authentification pour une fonction critique (CWE-306) dans un point de terminaison du service sidecar PostgreSQL : un attaquant distant et non authentifie peut l’utiliser pour creer ou tronquer des fichiers arbitraires sur le systeme. La CISA l’a ajoutee a son catalogue des vulnerabilites activement exploitees (KEV) le 18 juin 2026, avec une echeance federale de remediation fixee au 21 juin, dans trois jours.

Suis-je concerne ?

La CVE-2026-20253 affecte Splunk Enterprise sur deux branches de publication : les versions 10.2 anterieures a 10.2.4, et les versions 10.0 anterieures a 10.0.7. Splunk l’a corrigee dans 10.4.0, 10.2.4 et 10.0.7. Les versions 9.4 et anterieures ne sont pas affectees. Verifiez la version en cours dans votre environnement par rapport a ces plages, et consultez l’avis Splunk sur advisory.splunk.com pour la liste complete et les versions corrigees.

Le composant vulnerable est un point de terminaison du service sidecar PostgreSQL. Pour que la faille soit accessible, ce point de terminaison doit etre joignable depuis le reseau sans controles d’authentification entre l’attaquant et le service. Dans les environnements ou les services backend de Splunk sont isoles des reseaux externes, l’exposition directe est reduite, mais l’application du correctif reste l’action requise dans tous les cas.

Quoi faire maintenant

1. Appliquez le correctif specifie dans l’avis Splunk. Installez la version que Splunk indique pour votre branche de publication. C’est le seul correctif durable. L’echeance federale est le 21 juin 2026, dans trois jours. Pour les organisations qui ne sont pas des agences federales americaines, cette meme fenetre courte constitue une cible interne raisonnable pour tout deploiement Splunk expose a Internet.
2. Si vous ne pouvez pas corriger dans les heures qui suivent, restreignez l’acces au port sidecar PostgreSQL au niveau reseau ou hote. Bloquez les connexions entrantes vers le point de terminaison vulnerable depuis tout ce qui ne devrait pas y acceder. Le cout reel : les services auxiliaires ou les pipelines d’ingest qui dependent de ce point de terminaison peuvent etre affectes ; verifiez la connectivite avant d’appliquer la restriction et planifiez un correctif rapide dans la foulee.
3. Auditez l’activite du systeme de fichiers sur les hotes executant Splunk Enterprise. Un acces d’ecriture de fichiers non authentifie peut avoir ete utilise pour deposer des fichiers avant la fermeture de la faille. Apres correction, recherchez des fichiers inattendus dans les repertoires ou les processus Splunk ecrivent, comparez les horodatages de modification aux journaux d’acces, et traitez tout fichier inattendu comme un indicateur potentiel d’acces anterieur plutot que comme du bruit.

Comment elle est exploitee

L’inscription au KEV de la CISA est la confirmation par une source primaire de l’exploitation active. Le catalogue enregistre la CVE-2026-20253 avec une date d’ajout au 18 juin 2026 et une echeance federale de remediation au 21 juin 2026. L’usage connu dans des campagnes de rancongiciels est indique comme Inconnu a ce stade.

Le NVD a publie la CVE-2026-20253 le 10 juin 2026 avec un score de base CVSS 3.1 de 9.8 (Critique), vecteur AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H : accessible reseau, sans privileges ni interaction utilisateur, avec un impact complet sur la confidentialite, l’integrite et la disponibilite. L’EPSS de FIRST est d’environ 1,7 pour cent (74e percentile) au 18 juin 2026 et evoluera a mesure que les donnees d’exploitation s’accumulent. Le score de 9.8 et l’inscription au KEV vont dans le meme sens : c’est une priorite quel que soit le niveau auquel l’EPSS se stabilise.

Aucun indicateur de compromission n’a ete publie par une source primaire a ce jour. Pour les derniers details techniques, consultez directement l’avis Splunk et l’entree CISA KEV.

Comment VulnMonitor aide

VulnMonitor maintient un inventaire en direct de ce que vous exploitez : quand la CISA a ajoute la CVE-2026-20253 le 18 juin, VulnMonitor a rapproche cette entree de vos actifs Splunk Enterprise et l’a classee par statut KEV. Une echeance federale de trois jours sur une faille d’ecriture de fichiers non authentifiee remonte en tete de toute file de priorites. Il n’arrete pas l’attaque en elle-meme, donc le correctif ci-dessus reste l’action qui ferme le risque. Savoir quelles versions Splunk sont dans votre parc est la premiere etape pour y repondre.

Mises a jour

• 2026-06-18, 17:00 UTC Publication initiale. CVE-2026-20253 ajoutee au KEV de la CISA le 18 juin 2026. Echeance federale le 21 juin 2026.
• 2026-06-18, plus tard Correction. Le NVD a publie la CVE-2026-20253 le 10 juin 2026 avec un CVSS de 9.8 (Critique), et non en attente comme indique au depart. Ajout des plages affectees (10.2 avant 10.2.4, 10.0 avant 10.0.7 ; 9.4 et anterieures non affectees) et des versions corrigees (10.4.0, 10.2.4, 10.0.7) selon l’avis Splunk. L’EPSS est d’environ 1,7 pour cent (74e percentile).