ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Splunk Enterprise yazılımını etkileyen kritik bir güvenlik açığının aktif saldırılarda kullanıldığını açıkladı. CVE-2026-20253 koduyla takip edilen zafiyet, CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna eklendi.
CVSS (güvenlik açıklarının risk seviyesini ölçen puanlama sistemi) puanı 9,8 olarak değerlendirilen zafiyet, saldırganların kimlik doğrulaması gerçekleştirmeden Splunk Enterprise içerisinde çalışan hassas bir servise erişmesine olanak sağlayabiliyor. Kurumların güvenlik olaylarını izlemesi ve büyük miktardaki makine verisini analiz etmesi için kullanılan Splunk’ın hedef alınması, risk seviyesini daha da artırıyor.
Splunk Açığı Hangi Sürümleri Etkiliyor?
GüvZafiyet, Splunk Enterprise’ın şirket içi sistemlerde kullanılan bazı güncel sürümlerini etkiliyor. Yazılım geliştiricisi tarafından yayımlanan güvenlik duyurusuna göre savunmasız sürümler şu şekilde:
- Splunk Enterprise 10.2.0 – 10.2.3
- Splunk Enterprise 10.0.0 – 10.0.6
Splunk Enterprise 9.4 ve daha eski sürümlerin söz konusu açıktan etkilenmediği belirtiliyor. Ayrıca güvenlik zafiyeti, savunmasız PostgreSQL (açık kaynaklı veritabanı sistemi) yan hizmetini kullanmadığı için Splunk Cloud Platform platformunu etkilemiyor.
Saldırganlar Kimlik Doğrulamayı Aşabiliyor
CVE-2026-20253, kritik bir işlevde kimlik doğrulama mekanizmasının eksik uygulanmasından kaynaklanıyor. Uzaktan erişim sağlayabilen bir saldırgan, kullanıcı adı veya parola girmeden PostgreSQL sidecar (uygulamanın yanında çalışan yardımcı servis) hizmeti üzerinden hassas bir uç noktaya erişebiliyor.
Açığın internette aktif olarak istismar edildiği doğrulanmış olsa da saldırıların kapsamı, saldırganların kimliği ve ele geçirilen sistem sayısı hakkında henüz ayrıntılı bilgi paylaşılmadı. CISA, oluşturduğu yüksek risk nedeniyle federal kurumlara gerekli güncellemeleri hızla uygulamaları yönünde uyarıda bulundu.
Splunk Kullanıcıları Ne Yapmalı?
Şirket, zafiyeti gideren yamaları 10 Haziran 2026 tarihinde yayımladı. Kullanıcıların sistemlerini en az Splunk Enterprise 10.2.4 veya 10.0.7 sürümüne yükseltmesi gerekiyor. Daha yeni 10.4.0 sürümü ise bu sorundan etkilenmiyor.
Güncellemeyi hemen uygulayamayan kurumlar, geçici önlem olarak PostgreSQL sidecar hizmetini devre dışı bırakabilir. Ancak geliştirici ekip, riskin tamamen ortadan kaldırılması için güvenli bir yazılım sürümüne yükseltme yapılmasını öneriyor.