Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Vulnerabilidades en Splunk Enterprise permiten ataques de salto de directorio y filtración de datos


Splunk ha lanzado actualizaciones de seguridad para corregir múltiples vulnerabilidades en Splunk Enterprise y Splunk Cloud Platform. Estos fallos podrían permitir ataques de salto de directorio (path traversal), la divulgación de hashes de credenciales almacenadas y la ejecución arbitraria de búsquedas SPL.



Splunk ha lanzado actualizaciones de seguridad para solucionar múltiples vulnerabilidades en Splunk Enterprise y Splunk Cloud Platform.

Estos fallos podrían provocar problemas como el salto de directorio (path traversal), la divulgación de hashes de credenciales almacenadas y la ejecución arbitraria de búsquedas SPL (Search Processing Language). Se han parcheado tres vulnerabilidades de seguridad que afectan tanto a Splunk Enterprise como a Splunk Cloud Platform.

Estos problemas afectan a la API REST y a los componentes de Splunk Web, lo que podría permitir que usuarios autorizados o atacantes mediante phishing accedan a datos sensibles, escriban archivos en directorios no deseados o ejecuten búsquedas arbitrarias.

Múltiples vulnerabilidades de Splunk Enterprise

La vulnerabilidad más crítica, identificada como CVE-2026-20296 (SVD-2026-0702), tiene una puntuación CVSS de 8.3. Afecta al componente Deployment Server dentro de Splunk Web.

Un atacante no autenticado podría explotar este fallo engañando a un usuario con la capacidad list_deployment_server para que abra un enlace o una página web maliciosa.

Este ataque aprovecha la falta de validación CSRF (Cross-Site Request Forgery) en las solicitudes GET y el manejo insuficiente de las entradas controladas por el usuario en las búsquedas SPL.

Si se explota con éxito, los atacantes podrían ejecutar búsquedas SPL arbitrarias como el usuario del sistema de splunk, exponiendo potencialmente datos indexados y credenciales almacenadas.

Sin embargo, esta explotación requiere la interacción del usuario; por lo tanto, un atacante no puede activar el problema de forma remota sin realizar primero un phishing al objetivo.

Además, la CVE-2026-20297 (SVD-2026-0703) es una vulnerabilidad de salto de directorio de severidad alta, calificada con una puntuación CVSS de 7.2. Este problema existe en el endpoint REST de App Install e involucra el parámetro explicit_appname.

Un usuario con capacidades tanto de edit_local_apps como de install_apps podría explotar este fallo durante una instalación de aplicación válida.

El flujo de trabajo vulnerable podría permitir que se escriban archivos fuera del directorio de aplicación previsto y en el directorio $SPLUNK_HOME/etc/ o sus subdirectorios, lo que podría afectar las configuraciones de la aplicación y otros archivos sensibles de Splunk.

Por último, la CVE-2026-20298 (SVD-2026-0704) es un problema de divulgación de información de severidad media calificado con 5.3. Un usuario con pocos privilegios y sin roles de administrador o de poder podría acceder al endpoint REST /servicesNS/-/-/storage/passwords a través del comando SPL | rest.

Este endpoint podría devolver el campo encr_password, que expone hashes de credenciales almacenadas a usuarios no autorizados. Aunque el fallo requiere autenticación y tiene una calificación de complejidad de ataque alta, los hashes expuestos podrían facilitar intentos de craqueo de contraseñas fuera de línea o compromisos adicionales.

Se recomienda a los usuarios de Splunk Enterprise que actualicen a las siguientes versiones corregidas: 10.4.1, 10.2.5, 10.0.8, 9.4.13 o posteriores. El problema de salto de directorio también afecta a la rama 9.3, que requiere la versión 9.3.14.

Para la CVE-2026-20298, los administradores deben configurar limits.conf con mask_encr_password = true bajo la estrofa [storage_passwords_masking] y luego reiniciar Splunk Enterprise.

Los clientes de Splunk Cloud Platform están siendo parcheados y monitorizados por Splunk. Para la CVE-2026-20296, las organizaciones que no puedan actualizar inmediatamente pueden reducir su exposición desactivando Splunk Web donde no sea necesario.



Fuentes:
https://cybersecuritynews.com/multiple-splunk-enterprise-vulnerabilities-patched/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.