Splunk Enterprise<\/strong><\/p>\n\n\n\n Splunk Cloud Platform<\/strong><\/p>\n\n\n\n Recientemente se divulg\u00f3 la vulnerabilidad CVE-2026-20163<\/strong>, reportada en productos Splunk Enterprise y Splunk Cloud Platform<\/strong>, soluciones ampliamente utilizadas para la ingesti\u00f3n, an\u00e1lisis y correlaci\u00f3n de logs y eventos de seguridad (SIEM\/observabilidad). La falla posee una puntuaci\u00f3n CVSS v3 de 7.2 (High)<\/strong> y permite que un usuario con ciertos privilegios elevados ejecute comandos arbitrarios en el sistema subyacente<\/strong>, comprometiendo potencialmente la confidencialidad, integridad y disponibilidad del entorno afectado.<\/p>\n\n\n\n El problema se origina en el endpoint REST \/splunkd\/__upload\/indexing\/preview, utilizado para la previsualizaci\u00f3n de archivos durante procesos de ingesti\u00f3n o indexaci\u00f3n. Un usuario que posea un rol con la capacidad privilegiada edit_cmd puede manipular el par\u00e1metro unarchive_cmd para inyectar comandos del sistema operativo, lo que resulta en ejecuci\u00f3n de comandos arbitrarios en el servidor Splunk.<\/p>\n\n\n\n Aunque la explotaci\u00f3n requiere privilegios elevados dentro de la plataforma, el ataque es relativamente sencillo de ejecutar (baja complejidad) y no requiere interacci\u00f3n del usuario. Un atacante que comprometa una cuenta privilegiada o que abuse de configuraciones incorrectas de roles podr\u00eda utilizar esta vulnerabilidad para ejecutar comandos en el host, escalar impacto dentro de la infraestructura o comprometer datos almacenados en la plataforma de an\u00e1lisis.<\/p>\n\n\n\n Splunk ha publicado versiones corregidas que eliminan la posibilidad de ejecutar comandos arbitrarios a trav\u00e9s del par\u00e1metro vulnerable. Se recomienda actualizar inmediatamente a las versiones parcheadas<\/strong>:<\/p>\n\n\n\n En caso de que la actualizaci\u00f3n inmediata no sea posible, se recomienda implementar controles compensatorios como:<\/p>\n\n\n\n Adicionalmente, se recomienda habilitar monitoreo reforzado en los logs de la API REST de Splunk para detectar intentos de explotaci\u00f3n y revisar autenticaciones o actividades sospechosas asociadas a cuentas privilegiadas.<\/p>\n\n\n\n\n
\n
Descripci\u00f3n<\/h2>\n\n\n\n
Soluci\u00f3n y mitigaciones:<\/h2>\n\n\n\n
\n
\n
Informaci\u00f3n adicional:<\/h2>\n\n\n\n
\n