#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

SPLUNK-ALARM! Drei Lücken legen JETZT deinen Log-Server lahm — schon ein Standard-Nutzer reicht

SPLUNK-ALARM! Drei Lücken legen JETZT deinen Log-Server lahm — schon ein Standard-Nutzer reicht

Der Server, der eigentlich alle Logs im Blick behält, kann sich jetzt selbst abschalten lassen — und dafür reicht ein ganz normaler Nutzer. Splunk hat am 20. Mai gleich drei Sicherheitslücken geschlossen, die Splunk Enterprise, die Splunk Cloud Platform und das Splunk AI Toolkit betreffen. Das Brisante: Die Lücken lassen sich ohne Administrator-Rechte ausnutzen.

Was ist Splunk?

Splunk ist eine weit verbreitete Plattform, um Logdaten und Maschinendaten zu sammeln, zu durchsuchen und auszuwerten — oft im Einsatz als zentrales SIEM (Security Information and Event Management). Ironie des Schicksals: Genau dieses Sicherheits- und Monitoring-Werkzeug ist nun selbst Ziel. Fällt es aus, sind Teams im Ernstfall blind.

GEFAHR: Drei Lücken, ein gemeinsames Problem

Die drei Schwachstellen tragen die Kennungen CVE-2026-20238, CVE-2026-20239 und CVE-2026-20240. Gemeinsam erlauben sie niedrig privilegierten Angreifern, drei unangenehme Dinge zu tun: einen Denial-of-Service auszulösen, Session-Cookies abzugreifen und die rollenbasierte Zugriffskontrolle (RBAC) zu umgehen — und das alles ohne Admin-Zugangsdaten.

SCHOCK: Ein Skript legt die ganze Instanz lahm

Besonders anschaulich ist CVE-2026-20240 (hohe Schwere): ein Denial-of-Service über das Skript coldToFrozen.sh in Splunk Enterprise und der Cloud Platform. Ein Nutzer ohne Admin- oder Power-Rolle kann das Skript dazu bringen, kritische Splunk-Verzeichnisse umzubenennen, weil eine fehlende Eingabeprüfung beliebige Dateipfade akzeptiert. Ergebnis: Die Instanz wird funktionsunfähig. Ein einziger Befehl, und der Log-Server steht.

So updatest du RICHTIG

Splunk hat für jede Versionslinie passende Fixes bereitgestellt. Update auf:

  • Splunk Enterprise: 10.2.2, 10.0.5, 9.4.11 oder 9.3.12 — je nach deiner Linie.
  • Splunk Cloud Platform: die zugehörigen Wartungs-Releases (z. B. 10.4.2603.1, 10.3.2512.9, 10.2.2510.11).
  • Splunk AI Toolkit: die mittelschwere Lücke betrifft Versionen unter 5.7.3 — also auf 5.7.3 oder neuer aktualisieren.

EXTRA-TIPP: Rechte und Skripte im Blick behalten

Auch nach dem Update gilt: Vergib nur so viele Rechte wie nötig. Dass ein Standard-Nutzer ein Wartungsskript missbrauchen kann, zeigt, wie wichtig sauber abgestufte Rollen sind. Prüfe außerdem, wer überhaupt Zugriff auf interne Skripte und Pfade hat — Monitoring-Systeme sind ein lohnendes Ziel, gerade weil ihr Ausfall im Ernstfall am meisten weh tut.

FAZIT: Schnell patchen, Blindflug vermeiden

Drei Lücken, niedrige Hürde, hoher Effekt — und ein Werkzeug, das im Notfall funktionieren muss. Spiel die passenden Updates zeitnah ein.

Häufige Fragen

Welche Splunk-Produkte und Versionen sind betroffen?
Betroffen sind Splunk Enterprise, die Splunk Cloud Platform und das Splunk AI Toolkit. Für Splunk Enterprise stehen die Fixes in 10.2.2, 10.0.5, 9.4.11 und 9.3.12 bereit (je nach Versionslinie). Die Cloud Platform erhält entsprechende Wartungs-Releases. Beim AI Toolkit betrifft die Lücke Versionen unterhalb von 5.7.3.
Wie gefährlich sind die Lücken?
Die drei Lücken (CVE-2026-20238, -20239, -20240) lassen sich von niedrig privilegierten Nutzern ohne Admin-Rechte ausnutzen. Sie ermöglichen einen Denial-of-Service, das Abgreifen von Session-Cookies und das Umgehen der rollenbasierten Zugriffskontrolle. CVE-2026-20240 ist als hoch eingestuft und kann die Instanz funktionsunfähig machen.
Wie funktioniert der Denial-of-Service über coldToFrozen.sh?
Das Skript coldToFrozen.sh prüft die übergebenen Dateipfade nicht ausreichend. Ein Nutzer ohne Admin- oder Power-Rolle kann es dazu bringen, kritische Splunk-Verzeichnisse umzubenennen. Dadurch findet Splunk seine eigenen Daten nicht mehr und wird funktionsunfähig — ein wirksamer Denial-of-Service ohne erhöhte Rechte.
Sollte ich sofort updaten oder kann ich warten?
Da die Lücken ohne Admin-Rechte ausnutzbar sind und eine davon den Dienst komplett lahmlegen kann, ist zeitnahes Updaten ratsam — gerade wenn Splunk als zentrales SIEM läuft. Wähle die zu deiner Versionslinie passende Fix-Version und ergänze sauber abgestufte Rollen, damit Standard-Nutzer keine Wartungsskripte missbrauchen können.

Quellen:
Splunk Security Advisories ·
GBHackers ·
Cyber Security News
Stand: 24.05.2026. Advisories veröffentlicht am 20.05.2026.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert