CVE-2026-20253 affecte Splunk Enterprise 10.x via un endpoint PostgreSQL sidecar sans authentification permettant RCE. Exploitation active confirmée depuis le 14 juin 2026, ajoutée au KEV CISA le 18 juin 2026.
En bref
- CVE-2026-20253 : RCE pré-authentifiée critique dans Splunk Enterprise via un endpoint PostgreSQL sidecar sans authentification, ajoutée au KEV CISA le 18 juin 2026
- Versions affectées : Splunk Enterprise 10.2.0 à 10.2.3 et 10.0.0 à 10.0.6 ; versions 9.4 et antérieures non affectées
- Action urgente : mettre à jour immédiatement vers Splunk Enterprise 10.4.0, 10.2.4 ou 10.0.7 — exploitation active confirmée
Les faits
CVE-2026-20253 est une vulnérabilité critique dans Splunk Enterprise découverte dans le service sidecar PostgreSQL intégré à la plateforme. La faille est classifiée sous CWE-306 (Missing Authentication for Critical Function) et a été officiellement ajoutée au catalogue des vulnérabilités activement exploitées (KEV) de la CISA le 18 juin 2026. La CISA a exigé des agences fédérales américaines (FCEB) qu'elles appliquent le correctif avant le 21 juin 2026, délai de seulement trois jours reflétant la gravité extrême et l'exploitation active de la menace observée sur le terrain.
Techniquement, la vulnérabilité existe parce qu'un endpoint du service sidecar PostgreSQL dans Splunk Enterprise ne dispose d'aucun mécanisme d'authentification. Cet endpoint expose des opérations de fichier — création et troncature arbitraire de fichiers — directement accessibles à tout utilisateur pouvant atteindre le serveur en réseau, sans fournir aucune credential. La nature de cette primitive est particulièrement dangereuse : écriture arbitraire de fichiers sur un système hôte disposant des privilèges du service Splunk, typiquement élevés dans les déploiements d'entreprise, peut être directement chaînée vers une exécution de code à distance complète.
Le 12 juin 2026, les chercheurs de WatchTowr ont publié une analyse technique détaillée démontrant comment la primitive de création/troncature de fichiers peut être transformée en exécution de code à distance. En écrivant un fichier de configuration malveillant dans un répertoire chargé dynamiquement par le processus Splunk, un attaquant peut injecter des commandes arbitraires qui seront exécutées avec les privilèges du service Splunk. Dans la majorité des déploiements d'entreprise, Splunk s'exécute avec des privilèges élevés pour ingérer des logs système, ce qui confère à l'attaquant un accès de niveau administrateur ou système sur le serveur hôte après exploitation réussie.
La divulgation publique par WatchTowr a inclus un proof-of-concept (PoC) démontrant l'exploitation end-to-end, du premier accès non authentifié jusqu'à l'exécution de code arbitraire. Ce PoC a immédiatement accéléré l'exploitation in-the-wild : quelques jours seulement après la publication de l'analyse, des acteurs malveillants ont commencé à cibler des instances Splunk Enterprise exposées, forçant la CISA à agir en urgence le 18 juin. Des logs de honeypot analysés par plusieurs firmes de sécurité ont enregistré des scans actifs à la recherche du port Splunk (8089/tcp) et des tentatives d'exploitation à partir du 14 juin 2026.
Splunk Enterprise est l'une des plateformes SIEM (Security Information and Event Management) et d'analyse de logs les plus déployées dans le monde, utilisée par des milliers d'organisations pour leur surveillance sécurité, leur conformité réglementaire (SOC 2, PCI-DSS, HIPAA) et leurs opérations de threat hunting. La compromission d'une instance Splunk va bien au-delà du contrôle du serveur hôte : un attaquant accède à l'intégralité des données de log ingérées — logs d'authentification, flux réseau, événements de sécurité — lui permettant de cartographier précisément l'infrastructure cible, d'identifier des comptes privilégiés, et d'effacer les traces de ses actions.
Les versions affectées couvrent la branche 10.x récente de Splunk Enterprise : 10.2.0 à 10.2.3 et 10.0.0 à 10.0.6. Les versions 9.4 et antérieures ne sont pas affectées par cette vulnérabilité spécifique, ce qui indique que le service sidecar PostgreSQL vulnérable a été introduit dans les versions 10.x. Les instances Splunk Cloud (SaaS hébergé par Splunk) ont été corrigées directement par Splunk sans action requise des clients, selon l'advisory SVD-2026-0603 publié sur le portail de sécurité Splunk.
La correction est disponible dans les versions Splunk Enterprise 10.4.0, 10.2.4 et 10.0.7. Splunk a publié ces versions correctives en réponse à la divulgation responsable initiale, avant que l'exploitation active ne soit confirmée publiquement. Le délai entre la publication du correctif et l'ajout au KEV CISA illustre un phénomène récurrent : malgré la disponibilité d'un patch, de nombreuses organisations n'avaient pas encore appliqué la mise à jour au moment où l'exploitation a débuté, soulignant l'importance d'une gestion proactive des vulnérabilités pour les logiciels d'infrastructure critique.
La vulnérabilité a été décrite dans l'advisory officiel Splunk SVD-2026-0603 comme une « création et troncature arbitraire de fichiers non authentifiées dans un endpoint du service sidecar PostgreSQL de Splunk Enterprise ». Le port vulnérable est le port de management REST API Splunk (8089/tcp par défaut), utilisé pour l'administration, la configuration et les communications inter-composants. Dans de nombreuses architectures Splunk distribuées, ce port est accessible depuis l'ensemble des nœuds du déploiement, élargissant potentiellement la surface d'attaque interne.
Impact et exposition
Toute organisation exécutant Splunk Enterprise en version 10.2.0 à 10.2.3 ou 10.0.0 à 10.0.6 sur des serveurs accessibles en réseau est directement exposée. L'exploitation ne requiert aucune authentification préalable ni aucun compte Splunk existant, ce qui signifie qu'un attaquant externe ayant accès au port 8089/tcp peut déclencher l'exécution de code sans le moindre credential. Dans les architectures où Splunk est exposé depuis un DMZ ou directement depuis Internet — configuration moins courante mais observée dans des déploiements mal sécurisés — le risque est maximal.
Même dans les déploiements où Splunk est isolé sur un réseau interne, l'exploitation reste pertinente dans le cadre d'une attaque latérale post-compromission initiale. Un attaquant ayant pénétré le réseau d'entreprise via une autre voie (phishing, exploitation d'un équipement périmétrique vulnérable) cherchera naturellement à compromettre l'instance Splunk pour couvrir ses traces et disposer d'une vision complète de l'infrastructure via les logs ingérés. La compromission du SIEM représente pour un attaquant avancé un objectif stratégique de premier ordre.
L'exploitation active est confirmée depuis le 14 juin 2026. Des groupes d'attaquants opportunistes et, selon certaines analyses publiées par des firmes de threat intelligence, des acteurs potentiellement sponsorisés ont été observés ciblant des instances Splunk Enterprise non patchées dans les secteurs de la finance, de la santé et des administrations publiques. La présence de CVE-2026-20253 dans le KEV CISA constitue la confirmation officielle de cette exploitation in-the-wild.
L'impact d'une compromission Splunk va au-delà du serveur lui-même. Les données de log ingérées — qui peuvent représenter des années d'historique d'événements de sécurité — constituent une mine d'informations stratégiques pour l'attaquant : identification des comptes administrateurs et de leurs patterns de connexion, cartographie des plages d'adresses IP internes, détection des vulnérabilités connues déjà identifiées en interne. Un attaquant peut également modifier ou supprimer des indexes Splunk pour effacer les traces de son intrusion, compromettant durablement l'intégrité des preuves forensiques et la capacité de détection de l'organisation.
Recommandations immédiates
- Mettre à jour Splunk Enterprise vers la version 10.4.0, 10.2.4 ou 10.0.7 selon votre branche de déploiement — advisory : Splunk Security Advisory SVD-2026-0603
- Si la mise à jour immédiate est impossible : restreindre l'accès au port 8089/tcp (management REST API) aux seules adresses IP de confiance via des règles de pare-feu ou ACL réseau
- Auditer les logs d'accès au port 8089 pour identifier des tentatives d'exploitation passées : rechercher des requêtes POST inattendues vers les endpoints du service sidecar PostgreSQL depuis des adresses non autorisées
- Vérifier l'intégrité des fichiers de configuration Splunk (notamment dans le répertoire $SPLUNK_HOME/etc/) et surveiller la création de fichiers inattendus via des solutions EDR ou FIM (File Integrity Monitoring)
- Indicateurs de compromission : processus enfants inattendus lancés depuis splunkd, fichiers créés dans les répertoires Splunk avec des timestamps récents sans correspondance dans les logs d'administration, connexions réseau sortantes inhabituelles depuis le processus splunkd
⚠️ Urgence maximale — Exploitation active confirmée, KEV CISA
CVE-2026-20253 est activement exploitée depuis le 14 juin 2026 et figure dans le catalogue KEV de la CISA. La compromission d'une instance Splunk Enterprise expose l'ensemble de vos logs de sécurité et permet à l'attaquant d'effacer ses traces d'intrusion. Si votre version de Splunk Enterprise est dans la plage 10.0.0-10.0.6 ou 10.2.0-10.2.3, traitez votre instance comme potentiellement compromise et appliquez le correctif en urgence.
Comment savoir si je suis vulnérable ?
Vérifiez votre version Splunk Enterprise en vous connectant à l'interface web (Settings puis About) ou en ligne de commande avec $SPLUNK_HOME/bin/splunk version. Si la version est dans les plages 10.2.0-10.2.3 ou 10.0.0-10.0.6, vous êtes vulnérable. Pour tester l'accessibilité du port vulnérable depuis l'extérieur : curl -sk https://[IP_SPLUNK]:8089/services/server/info — une réponse XML indique que le port est accessible. Vérifiez également que vos règles de pare-feu bloquent ce port depuis les réseaux non de confiance.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-58289 : type confusion RCE Microsoft Edge CVSS 9.0
CVE-2026-58289 est une vulnérabilité de type confusion (CWE-843) CVSS 9.0 dans Microsoft Edge Chromium permettant l'exécution de code à distance sans authentification. Mise à jour urgente requise sur tous les postes Windows.
CVE-2026-45829 ChromaToast : RCE pré-auth CVSS 10.0 ChromaDB
CVE-2026-45829 (ChromaToast) : injection de code pré-authentifiée CVSS 10.0 dans ChromaDB v1.0.0-v1.5.9 via le serveur Python FastAPI. Aucun patch disponible, plus de 4 500 instances exposées sur Internet.
CVE-2026-50548 DuneSlide : RCE zero-click dans Cursor AI IDE
DuneSlide (CVE-2026-50548 et CVE-2026-50549) : deux failles CVSS 9.8 zero-click dans Cursor AI IDE permettant une RCE complete via injection de prompts et evasion de sandbox. Toutes versions avant Cursor 3.0 sont affectees.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire