Platform
splunk
Component
splunk
Opgelost in
9.3.11
9.4.10
10.0.2503.13
10.1.2507.19
10.2.2510.10
10.3.2512.6
10.4.2603.0
CVE-2026-20203 is een kwetsbaarheid in Splunk Enterprise en Splunk Cloud Platform die betrekking heeft op onjuiste toegangscontrole. Een niet-beheerdersgebruiker met schrijfrechten op een app, maar zonder de accelerate_datamodel high-privilege capability, kan Data Model Acceleration aan- of uitzetten. Dit kan leiden tot onverwacht gedrag en potentieel tot configuratiewijzigingen binnen de Splunk omgeving. De kwetsbaarheid treft versies van Splunk Enterprise onder 10.2.2, 10.0.5, 9.4.10, en 9.3.11, en Splunk Cloud Platform onder 10.4.2603.0, 10.3.2512.6, 10.2.2510.10, 10.1.2507.19, 10.0.2503.13, en 9.3.2411.127. Er is geen fix beschikbaar voor de getroffen versies, maar mitigatiemaatregelen zijn mogelijk.
De impact van CVE-2026-20203 ligt in de mogelijkheid voor een niet-beheerdersgebruiker om de Data Model Acceleration in Splunk te manipuleren. Data Model Acceleration is een functie die de prestaties van Splunk-zoekopdrachten kan verbeteren, maar het onjuist aan- of uitzetten ervan kan leiden tot onverwachte prestatieproblemen of zelfs data-integriteitsproblemen. Een aanvaller kan deze kwetsbaarheid uitbuiten om de prestaties van de Splunk omgeving te beïnvloeden, waardoor gebruikers last ondervinden en de betrouwbaarheid van de data-analyse vermindert. Hoewel de kwetsbaarheid niet direct leidt tot data-exfiltratie of RCE, kan het wel gebruikt worden als onderdeel van een bredere aanval om de beheerders te verstoren of de omgeving te destabiliseren. De blast radius is beperkt tot de Splunk omgeving zelf, maar de impact op de data-analyse en de gebruikerservaring kan aanzienlijk zijn.
CVE-2026-20203 is gepubliceerd op 2026-04-15. Er is momenteel geen indicatie van actieve exploitatiecampagnes. De kwetsbaarheid is niet opgenomen in KEV (Know Exploited Vulnerabilities). De EPSS score is nog niet bekend, maar gezien de vereiste voor specifieke gebruikersrechten en de beperkte impact, is de waarschijnlijkheid van exploitatie waarschijnlijk laag tot gemiddeld. Raadpleeg de NVD (National Vulnerability Database) en CISA (Cybersecurity and Infrastructure Security Agency) voor updates over de status van deze kwetsbaarheid.
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
Omdat er geen directe fix beschikbaar is voor de getroffen versies, is het essentieel om mitigatiemaatregelen te implementeren. De primaire mitigatie is het beperken van schrijfrechten op apps voor gebruikers die geen beheerdersrechten hebben. Controleer de toegangsrechten van gebruikers en zorg ervoor dat alleen beheerders (met de admin of power rol) en gebruikers met de accelerate_datamodel capability de Data Model Acceleration kunnen wijzigen. Overweeg het gebruik van een Web Application Firewall (WAF) of proxy om verdachte verzoeken te blokkeren die proberen de Data Model Acceleration te manipuleren. Configureer de WAF om verzoeken te filteren die de relevante Splunk API endpoints aanroepen met onjuiste authenticatie of autorisatie. Controleer de Splunk logs op ongebruikelijke activiteiten die verband houden met Data Model Acceleration. Na het implementeren van deze mitigaties, controleer de configuratie van Data Model Acceleration om te bevestigen dat deze correct is ingesteld en niet is gewijzigd door onbevoegde gebruikers.
Actualice Splunk Enterprise a la versión 10.2.2, 10.0.5, 9.4.10, 9.3.11 o a una versión posterior de Splunk Cloud Platform (10.4.2603.0, 10.3.2512.6, 10.2.2510.10, 10.1.2507.19, 10.0.2503.13, 9.3.2411.127) para mitigar la vulnerabilidad. La actualización corrige el control de acceso incorrecto que permite a usuarios no administradores modificar la configuración de la aceleración de modelos de datos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een kwetsbaarheid in Splunk Enterprise en Cloud Platform waarbij niet-beheerders Data Model Acceleration kunnen aanpassen, wat tot prestatieproblemen kan leiden.
Ja, als u Splunk Enterprise of Cloud Platform gebruikt in versies onder 10.2.2, 10.0.5, 9.4.10, 9.3.11, etc., dan bent u mogelijk getroffen.
Upgrade naar een niet-getroffen versie (10.2.2 of hoger). Beperk schrijfrechten en controleer toegangsrechten.
Er zijn momenteel geen aanwijzingen voor actieve exploitatiecampagnes, maar blijf alert.
Raadpleeg de NVD (nvd.nist.gov) en CISA (cisa.gov) voor de meest recente informatie over deze kwetsbaarheid.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.