„`html
Zusammenfassung
CVE-2026-20239 ist eine Informationspreisgabevulnerabilität in Splunk Enterprise und Splunk Cloud Platform, die es Benutzern mit Zugriff auf den `_internal` Index ermöglicht, sensible Daten wie Session-Cookies und Response-Bodies einzusehen. Die Schwachstelle mit einem CVSS-Score von 7.5 betrifft mehrere Versionen und erfordert sofortige Aufmerksamkeit.
Betroffene Systeme
- Splunk Enterprise: Versionen unter 10.2.2 und 10.0.5
- Splunk Cloud Platform: Versionen unter 10.3.2512.8, 10.2.2510.11, 10.1.2507.21 und 10.0.2503.13
Technische Details
Die Vulnerabilität basiert auf unzureichenden Zugriffskontrollen im `_internal` Index von Splunk. Dieser Index wird normalerweise für interne System-Metriken und Diagnostics verwendet. Benutzer mit entsprechenden Rollen können jedoch auf diesem Index gespeicherte sensible Informationen abfragen, darunter:
- Session-Cookies mit Authentifizierungstokens
- HTTP-Response-Bodies mit persönlichen oder vertraulichen Daten
- Credentials und API-Keys in Debug-Logs
Der Angriff erfolgt über das Netzwerk und erfordert legitime Anmeldedaten mit entsprechenden Berechtigungen. Die fehlende Datensegmentierung ermöglicht es, auf sensitive Inhalte zuzugreifen, die eigentlich geschützt sein sollten.
Empfohlene Massnahmen
- Update: Upgrade auf die neuesten Versionen durchführen (10.2.2, 10.0.5 oder höher)
- Workaround: Beschränken Sie die Rollen, die auf den `_internal` Index zugreifen können, auf notwendige Administratoren
- Monitoring: Überwachen Sie Abfragen auf den `_internal` Index auf verdächtige Aktivitäten
- Audit-Logs: Aktivieren Sie detaillierte Logging für Index-Zugriffe
Bewertung
Mit einem CVSS-Score von 7.5 (High) ist diese Vulnerabilität ernst zu nehmen. Sie birgt erhebliche Risiken für die Datenvertraulichkeit, besonders in Umgebungen mit mehreren Benutzern. Ein Patch steht derzeit nicht zur Verfügung – schnelle Implementierung der Workarounds ist daher prioritär.
„`