Softwarebedrijf Splunk waarschuwt voor actief misbruik van een kritieke kwetsbaarheid in Splunk Enterprise waardoor een ongeauthenticeerde aanvaller code op het platform kan uitvoeren. Splunk kwam op 10 juni met beveiligingsupdates. Gisteren meldde het bedrijf dat de kwetsbaarheid (CVE-2026-20253) bij aanvallen is ingezet. Details over de aanvallen zijn niet gegeven.

Splunk Enterprise is een softwareplatform dat grote hoeveelheden door systemen gegenereerde data doorzoekt, monitort en analyseert. Het verwerkt logs, telemetrie en events vanuit de it-omgeving van organisaties, zoals servers, applicaties, netwerkapparaten en securitytools, en indexeert die zodat de informatie aan de organisatie kan worden ontsloten. Zo is de informatie te gebruiken voor dashboards om beveiligingsproblemen te onderzoeken of te worden gewaarschuwd bij problemen.

Via de kwetsbaarheid in Splunk Enterprise kan een ongeauthenticeerde aanvaller willekeurige bestanden maken en verwijderen. Een aanvaller kan het lek misbruiken om een malafide database aan te maken en die op het filesystem van de Splunk-server te plaatsen. Vervolgens is het mogelijk om deze malafide database door Splunk te laden en kan er een shell op het systeem worden verkregen. Dat liet cybersecuritybedrijf watchTowr een aantal dagen geleden via een proof-of-concept en technische analyse van de kwetsbaarheid zien.

Splunk laat in een update van het beveiligingsbulletin weten dat het Splunk Product Security Incident Response Team (PSIRT) bekend is met actief misbruik van de kwetsbaarheid. Klanten worden opgeroepen om de beschikbare update te installeren. Ook het Amerikaanse cyberagentschap CISA meldt misbruik van het kritieke Splunk-lek en heeft Amerikaanse overheidsinstanties opgedragen de kwetsbaarheid binnen drie dagen te patchen.