SecBoard
KritischCVE WatchScore: 60/100

Splunk Enterprise CVE-2026-20253: Unauthentifizierte RCE aktiv ausgenutzt, jetzt im CISA-KEV

28. Juni 2026
Splunk Enterprise CVE-2026-20253: Unauthentifizierte RCE aktiv ausgenutzt, jetzt im CISA-KEV

Kurzfazit

Eine kritische Schwachstelle in Splunk Enterprise (CVE-2026-20253, CVSS 9.8, EPSS 88%) erlaubt unauthentifizierten Angreifern das Erstellen oder Abschneiden beliebiger Dateien und in der Folge Remote Code Execution. CISA hat die Lücke in den KEV-Katalog aufgenommen und Bundesbehörden nur drei Tage zum Patchen gegeben; eine Ausnutzung erfolgte bereits wenige Tage nach Offenlegung.

Was ist passiert?

Splunk hat Sicherheitsupdates für eine kritische Schwachstelle in Splunk Enterprise veröffentlicht, die als CVE-2026-20253 geführt wird. Laut den Quellen handelt es sich um eine fehlende Authentifizierung für eine kritische Funktion ("Missing Authentication for Critical Function"): Ein unauthentifizierter Angreifer kann beliebige Dateien erstellen oder abschneiden (truncate) und darüber unauthentifizierte Dateioperationen bis hin zu auslösen. Betroffen sind laut CVE-Beschreibung Splunk Enterprise-Versionen unterhalb von 10.2.4 und 10.0.7 sowie Splunk Cloud Platform unterhalb von 10.4.2604.3 und 10.2.2510.14. hat die Schwachstelle am 18. Juni 2026 in den Known-Exploited-Vulnerabilities-Katalog () aufgenommen und Bundesbehörden eine Frist von nur drei Tagen zum Patchen gesetzt.

Warum ist das relevant?

Splunk ist in vielen SOCs und IT-Abteilungen die zentrale Plattform für Logging, Monitoring und Detection. Eine unauthentifizierte auf einem solchen System trifft ausgerechnet das Werkzeug, mit dem Angriffe erkannt werden sollen — eine Kompromittierung kann daher zugleich die Sichtbarkeit der Verteidiger untergraben. Die Kombination aus 9.8, einem von 88 % und der bestätigten aktiven Ausnutzung wenige Tage nach Offenlegung macht die Lücke zu einem akuten Risiko.

Betroffene Branchen und Technologien

Eine branchenspezifische Eingrenzung geht aus den Quellen nicht hervor. Aufgrund der breiten Verbreitung von Splunk als SIEM-/Log-Management-Plattform sind grundsätzlich Organisationen jeder Branche mit nicht gepatchten, erreichbaren Splunk-Enterprise- oder Splunk-Cloud-Instanzen betroffen.

Priorisierungssignale

  • 9.8 (kritisch)
  • 88 % (sehr hohe Ausnutzungswahrscheinlichkeit)
  • CISA-KEV — aktive Ausnutzung bestätigt
  • Ausnutzung wenige Tage nach Offenlegung
  • Unauthentifiziert ausnutzbar

Diese Faktoren rechtfertigen eine Behandlung als Notfall-Patch innerhalb der von gesetzten kurzen Frist.

Defensive Empfehlungen

  • Splunk Enterprise auf 10.2.4 / 10.0.7 (bzw. höher) und Splunk Cloud Platform auf 10.4.2604.3 / 10.2.2510.14 (bzw. höher) aktualisieren.
  • Erreichbarkeit der Splunk-Management-/Web-Schnittstellen aus nicht vertrauenswürdigen Netzen einschränken, bis gepatcht ist.
  • Splunk-Hosts auf verdächtige Datei-Erstellung/-Veränderung und ungewöhnliche Prozessaktivität prüfen.
  • Bei nicht zeitnah patchbaren Instanzen kompensierende Maßnahmen (Netzsegmentierung, Zugriffsbeschränkung) ergreifen und Geräte als potenziell kompromittiert behandeln.

Quellenhinweise

Die Einschätzung stützt sich auf die CISA-KEV-Aufnahme sowie übereinstimmende Berichterstattung von The Hacker News und SecurityWeek. CVSS- (9.8) und EPSS-Werte (88 %) stammen aus den verknüpften Schwachstellendaten.

Was Security-Teams jetzt prüfen sollten

  • 1Splunk Enterprise auf 10.2.4 / 10.0.7 oder höher bzw. Splunk Cloud auf 10.4.2604.3 / 10.2.2510.14 oder höher aktualisieren — als Notfall-Patch.
  • 2Splunk-Web-/Management-Schnittstellen aus nicht vertrauenswürdigen Netzen sperren, bis gepatcht ist.
  • 3Splunk-Hosts auf verdächtige Datei-Erstellung/-Truncation und ungewöhnliche Prozesse prüfen.
  • 4Nicht patchbare Instanzen segmentieren und als potenziell kompromittiert behandeln.
  • 5Patch-Fristen an der CISA-KEV-Vorgabe ausrichten und Abschluss dokumentieren.

Relevante CVEs

Transparenz & Redaktion

  • Analyse: SecBoard Research
  • Redaktionell verantwortlich: Eike Fellgiebel
  • KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
  • Stand: 28. Juni 2026
Wie SecBoard arbeitet: Methodik & Quellen
#Splunk#Splunk Enterprise#CVE-2026-20253#RCE#KEV#Missing Authentication#EPSS