CISA KEV 18/06: CVE-2026-20253 no Splunk Enterprise (CVSS 9,8) permite execução remota de código sem autenticação — patch até domingo

A CISA adicionou em 18 de junho de 2026 a vulnerabilidade CVE-2026-20253 ao catálogo KEV: falha de autenticação ausente (CWE-306) no serviço PostgreSQL sidecar do Splunk Enterprise. CVSS 9,8 crítico — um atacante remoto não autenticado pode criar ou truncar arquivos arbitrários, o que em condições específicas possibilita execução remota de código. Versões afetadas: 10.2 < 10.2.4 e 10.0 < 10.0.7. Prazo para patching de agências federais (FCEB): 21/06/2026.

A CISA adicionou em 18 de junho de 2026 o CVE-2026-20253 ao seu catálogo Known Exploited Vulnerabilities (KEV), confirmando exploração ativa em ambientes reais.

**CVE**: CVE-2026-20253 **Produto**: Splunk Enterprise **CVSS**: 9,8 (Crítico) **CWE**: CWE-306 — Missing Authentication for Critical Function **Impacto**: Execução remota de código (RCE) via criação/truncagem de arquivos arbitrários **Versões afetadas**: 10.2 < 10.2.4 | 10.0 < 10.0.7

A falha reside no endpoint do serviço PostgreSQL sidecar do Splunk Enterprise, que não impõe autenticação antes de processar requisições. Um atacante remoto sem credenciais pode invocar operações de arquivo e, em condições específicas, encadear a vulnerabilidade em RCE.

A CISA invocou a Binding Operational Directive (BOD) 26-04, exigindo que agências federais civis (FCEB) apliquem o patch **até 21 de junho de 2026** — este domingo.

**Ação recomendada**: Atualizar imediatamente para Splunk Enterprise 10.2.4+ ou 10.0.7+.

Fonte e transparência

Fonte original: IPSecure Hub

Data de publicação original: 18/06/2026

O IPSecure Hub resume e contextualiza em português do Brasil. Detalhes ofensivos, PoCs e instruções de exploração não são reproduzidos.