// TOM'S HARDWARE ITALIA — CYBERSECURITY
Falla critica in Splunk: in arrivo una patch entro domenica
CISA ha inserito una vulnerabilità critica di Splunk Enterprise nel catalogo KEV dopo prove di sfruttamento attivo. L'ordine riguarda le agenzie federali statunitensi, che devono applicare le patch entro domenica. Il caso arriva pochi giorni dopo la pubblicazione delle patch e dopo l'avviso del vendor su tentativi limitati di abuso in ambienti reali.
La falla è tracciata come CVE-2026-20253 e interessa le versioni Splunk Enterprise 10.2.0-10.2.3 e 10.0.0-10.0.6. Il problema nasce dal servizio PostgreSQL sidecar, che in alcune configurazioni espone un endpoint privo dei controlli di autenticazione necessari. Un attaccante raggiungibile in rete può invocare operazioni sui file senza credenziali, creando o troncando file arbitrari sui sistemi vulnerabili.
Dopo l'analisi tecnica e il proof of concept pubblicati da watchTowr, il difetto è stato descritto come una possibile strada verso esecuzione di codice da remoto in scenari concreti. Splunk ha aggiornato il proprio advisory segnalando sfruttamento limitato e raccomandando l'upgrade a una release corretta, mentre CISA ha tradotto l'allerta in una scadenza operativa per il settore federale.
Secondo i dati citati da Shadowserver, su Internet risultano esposte oltre 1.400 istanze Splunk, concentrate soprattutto in Nord America ed Europa. Il numero non indica quante siano realmente vulnerabili, ma mostra quanto sia ampia la platea potenziale di sistemi da verificare. In ambienti enterprise, Splunk è spesso collegato a log, eventi di sicurezza e flussi operativi, quindi una compromissione può avere effetti oltre il singolo server.
Per chi non può aggiornare subito, Splunk indica come mitigazione la disattivazione del servizio PostgreSQL sidecar. La misura riduce la superficie esposta, ma può interrompere funzioni come Edge Processor, OpAmp o pipeline SPL2. È quindi una contromisura da valutare in modo controllato, non una sostituzione stabile della patch.
La dinamica rientra in una fase di forte pressione sulle piattaforme usate per gestione, sicurezza e accesso remoto. Un recente avviso CISA su FortiBleed ha mostrato come credenziali e sistemi esposti possano trasformarsi rapidamente in bersagli operativi. Nel caso Splunk, il punto da verificare è se le istanze vulnerabili siano raggiungibili da reti non fidate e se i componenti dipendenti dal sidecar siano davvero necessari.