Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 14.06.2026 · 3 min Lesezeit

Splunk Enterprise: Kritische Schwachstelle CVE‑2026‑20253 erlaubt Dateioperationen

Splunk warnt vor CVE-2026-20253 in Splunk Enterprise. Betroffene 10.0- und 10.2-Versionen sollten ohne Umweg auf korrigierte Builds aktualisiert werden.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Abgesicherter Serverraum mit Warnsymbol für eine kritische Schwachstelle

Splunk hat eine kritische Schwachstelle in Splunk Enterprise geschlossen, die ohne Anmeldung ausgenutzt werden kann. Die Lücke wird als CVE-2026-20253 geführt und betrifft nach Herstellerangaben Splunk Enterprise 10.0 und 10.2 in bestimmten älteren Builds. Splunk bewertet das Problem mit CVSS 9.8 als kritisch. Für Unternehmen ist die Meldung besonders relevant, weil Splunk häufig als zentrale Plattform für Logdaten, Monitoring und Security-Auswertungen dient. Ein erfolgreicher Angriff auf eine solche Instanz kann deshalb nicht nur einzelne Dienste treffen, sondern auch die Sichtbarkeit der IT-Sicherheit beeinträchtigen.

Die Schwachstelle / Was ist passiert

Die offizielle Splunk-Advisory beschreibt CVE-2026-20253 als unauthentifizierte Möglichkeit, Dateien über einen PostgreSQL-Sidecar-Service-Endpunkt zu erstellen oder zu kürzen. Der entscheidende Punkt ist das fehlende Authentifizierungsverfahren an diesem Endpunkt. Laut Splunk kann dadurch jeder netzwerkseitig erreichbare Nutzer Dateioperationen auslösen, ohne gültige Zugangsdaten zu besitzen.

Der Hersteller nennt keine Mitigation und keine verlässlichen Erkennungsregeln. WatchTowr Labs hat die Schwachstelle technisch nachvollzogen und beschreibt zusätzlich eine Angriffskette, die über die Dateioperationen hinaus bis zur Codeausführung führen kann. Diese Analyse ist kein Ersatz für die Herstellerbewertung, erhöht aber den praktischen Handlungsdruck: Aus einer scheinbar abstrakten Dateioperation kann in bestimmten Umgebungen ein deutlich schwererer Angriffspfad entstehen.

Wichtig ist auch eine Korrektur in Splunks Changelog: Splunk Cloud Platform ist laut der aktualisierten Advisory nicht betroffen, weil dort keine PostgreSQL-Sidecars verwendet werden. Damit liegt der Fokus vor allem auf selbst betriebenen Splunk-Enterprise-Installationen.

Bin ich betroffen?

Administratoren sollten zuerst prüfen, ob eine Splunk-Enterprise-Installation im 10.0- oder 10.2-Zweig betrieben wird. Laut Splunk sind Splunk Enterprise 10.2.0 bis 10.2.3 sowie 10.0.0 bis 10.0.6 betroffen. Korrigiert sind 10.2.4 und 10.0.7. Splunk Enterprise 10.4.0 wird in der Product-Status-Tabelle als nicht betroffen geführt.

Eine schnelle Versionsprüfung ist auf dem Server möglich:

/opt/splunk/bin/splunk version
rpm -qa | grep -i splunk
dpkg -l | grep -i splunk

Zusätzlich sollte geprüft werden, welche Splunk-Dienste aus welchen Netzen erreichbar sind. Besonders kritisch sind Instanzen, deren Weboberfläche oder Verwaltungsdienste aus breiten internen Netzen, über VPN-Zugänge oder sogar aus dem Internet erreichbar sind. Auch wenn eine Splunk-Instanz nicht öffentlich exponiert ist, bleibt das Risiko relevant, sobald ein Angreifer bereits im internen Netz steht.

Wie behebe ich das?

Splunk empfiehlt ein Update auf Splunk Enterprise 10.4.0, 10.2.4, 10.0.7 oder höher. Da die Advisory ausdrücklich keine Workarounds nennt, sollte das Update nicht durch eine reine Konfigurationsänderung ersetzt werden. In produktiven Umgebungen empfiehlt sich ein priorisierter Wartungsplan: zuerst internetnahe und sicherheitskritische Instanzen, anschließend interne Suchköpfe, Indexer und weitere Splunk-Komponenten nach Betriebsmodell.

Bis das Update abgeschlossen ist, sollten Zugriffe auf Splunk strikt begrenzt werden. Management- und Webzugriffe gehören nur in Administrationsnetze, hinter VPN- oder Zero-Trust-Kontrollen und in vorhandene Firewall-Regeln. Diese Einschränkungen schließen die Lücke nicht, reduzieren aber die Angriffsfläche während der Updatephase. Nach dem Patch sollten Dienste neu gestartet, Versionsstände dokumentiert und Backups sowie Konfigurationen auf unerwartete Änderungen geprüft werden.

Was bedeutet das für Unternehmen?

CVE-2026-20253 ist kein Randthema. Splunk sammelt oft hochsensible Logdaten aus Servern, Firewalls, Anwendungen, Identitätssystemen und Sicherheitswerkzeugen. Wer eine solche Plattform kompromittiert, kann im schlimmsten Fall Daten manipulieren, Spuren verwischen oder weitere Systeme auskundschaften. Deshalb sollte die Schwachstelle mit hoher Priorität behandelt werden, auch wenn bislang keine bestätigte breite Ausnutzung in der Splunk-Advisory genannt wird.

Für IT-Teams bedeutet das konkret: Versionsinventar erstellen, exponierte Instanzen priorisieren, Updates testen und zeitnah ausrollen. Parallel sollte geprüft werden, ob Splunk-Zugriffe ausreichend segmentiert sind. Eine Monitoring-Plattform darf nicht zum leicht erreichbaren Drehkreuz im Netzwerk werden.

Quellen: Splunk Advisory SVD-2026-0603, WatchTowr Labs Analyse zu CVE-2026-20253, The Hacker News zur Splunk-Schwachstelle, CVE-Eintrag CVE-2026-20253.

Verwandt

Weiter lesen

Alle Artikel →
Let's Encrypt SSL im netcup Webhosting mit WCP und Plesk einrichten, Zertifikat aktivieren und automatische Verlängerung für sichere HTTPS-Verbindungen nutzen
13.06.2026 ·9 min

Let's-Encrypt-SSL im netcup Webhosting (WCP/Plesk) einrichten und automatisch erneuern

Kostenloses HTTPS für jede Domain im netcup Webhosting aktivieren – inklusive www-Subdomain, automatischer Zertifikatserneuerung und SEO-konformem 301-Redirect. Keine Kommandozeile, kein Certbot – alles läuft über wenige Klicks im WCP-Panel.
netcup SCP Firewall Dashboard mit Default Policies, Firewall-Regeln und ufw Status zur mehrschichtigen Absicherung eines vServers
13.06.2026 ·12 min

netcup SCP-Firewall einrichten: Policies, Regeln und Zusammenspiel mit ufw

Die kostenlose netcup-SCP-Firewall filtert Angriffe bereits am Netzwerk-Edge, bevor ein Paket den VPS erreicht. Diese Anleitung zeigt, wie du Policies und INGRESS/EGRESS-Regeln korrekt anlegt, den UDP-Stateless-Fallstrick vermeidest und die Cloud-Firewall sinnvoll mit ufw kombinierst.
netcup SCP Oberfläche mit SSH-Key-Verwaltung und aktivierter Option zum automatischen Einbinden eines SSH-Keys bei einer Image-Installation auf einem vServer
13.06.2026 ·8 min

SSH-Keys im netcup SCP hinterlegen und bei Image-Installationen automatisch einbinden

Wer bei netcup regelmäßig Images neu aufsetzt, kennt den Frust: Nach jedem Reinstall muss der SSH-Key manuell übertragen werden. Das netcup SCP löst das elegant – du hinterlegst deinen Public-Key einmalig unter „Option > SSH Keys" und wählst ihn beim nächsten Install aus dem Dropdown.