Splunk Enterprise CVE-2026-20253 (CVSS 9.8, KEV): PostgreSQL Sidecar Bypass ile Yetkisiz RCE — CISA 3 Gün Süre Verdi

Splunk Enterprise'ın PostgreSQL sidecar servisinde keşfedilen CVE-2026-20253 (CVSS 9.8), kimlik doğrulamasız bir saldırganın ağ üzerinden dosya oluşturmasına ve mevcut dosyaları truncate etmesine olanak tanıyor. Bu kapasite, weaponize edildiğinde tam uzaktan kod yürütmeye dönüşüyor.

Mimari sorun şu: PostgreSQL sidecar API'si (port 5435) loopback interface'ine (127.0.0.1) bağlanmış olmasına rağmen, port 8000'de dinleyen Splunk web uygulaması bu trafiği dış ağdan iç servise proxy ediyor. Kimlik doğrulama hiçbir katmanda zorlanmadığı için saldırgan, web app'i 'önden kapıyı açan asistan' olarak kullanıyor.

AWS Amazon Machine Image (AMI) ile Splunk Enterprise dağıtımları varsayılan olarak sidecar servisi etkin geliyor — internet-erişimli AWS örnekleri en yüksek risk altında. Manuel Windows kurulumları çoğunlukla sidecar yüklemiyor, dolayısıyla on-prem dağıtımlar daha düşük risk taşıyor.

WatchTowr araştırmacıları 12 Haziran'da PoC kodu yayımladı; Splunk aktif istismarı 18 Haziran'da doğruladı. CISA aynı gün KEV'e ekledi ve BOD 26-04 kapsamında federal sivil kurumlara 21 Haziran tarihine kadar — sadece 3 gün — yama uygulama emri verdi. Bu olağandışı kısa süre, tehdidin somutluğunu gösteriyor.

Bizdeki etki: Splunk Enterprise envanterimiz 9.3.3 sürümünde — CVE 10.0.0–10.0.6 ve 10.2.0–10.2.3 sürümlerini kapsadığı için şu an doğrudan etkilenmiyoruz. Ancak SIEM modernizasyon planı kapsamında 10.x'e geçiş düşünülüyorsa, yamasız sürüme kesinlikle çıkılmamalı — 10.0.7 veya 10.2.4 minimum hedef olmalı.