CVE-2026-20137
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
18/02/2026
Última modificación:
20/02/2026
Descripción
En las versiones de Splunk Enterprise anteriores a 10.2.0, 10.0.3, 9.4.5, 9.3.7 y 9.2.9, y en las versiones de Splunk Cloud Platform anteriores a 10.1.2507.0, 10.0.2503.9, 9.3.2411.112 y 9.3.2408.122, un usuario con pocos privilegios que no posea los roles de Splunk 'admin' o 'power' podría eludir las salvaguardas de SPL para comandos arriesgados cuando crea un Modelo de Datos que contiene una consulta SPL inyectada dentro de un objeto. Puede eludir las salvaguardas explotando una vulnerabilidad de salto de ruta.
Impacto
Puntuación base 3.x
3.50
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:splunk:splunk:*:*:*:*:enterprise:*:*:* | 9.2.0 (incluyendo) | 9.2.9 (excluyendo) |
| cpe:2.3:a:splunk:splunk:*:*:*:*:enterprise:*:*:* | 9.3.0 (incluyendo) | 9.3.7 (excluyendo) |
| cpe:2.3:a:splunk:splunk:*:*:*:*:enterprise:*:*:* | 9.4.0 (incluyendo) | 9.4.5 (excluyendo) |
| cpe:2.3:a:splunk:splunk:*:*:*:*:enterprise:*:*:* | 10.0.0 (incluyendo) | 10.0.3 (excluyendo) |
| cpe:2.3:a:splunk:splunk_cloud_platform:*:*:*:*:*:*:*:* | 9.3.2408 (incluyendo) | 9.3.2408.122 (excluyendo) |
| cpe:2.3:a:splunk:splunk_cloud_platform:*:*:*:*:*:*:*:* | 9.3.2411 (incluyendo) | 9.3.2411.112 (excluyendo) |
| cpe:2.3:a:splunk:splunk_cloud_platform:*:*:*:*:*:*:*:* | 10.0.2503 (incluyendo) | 10.0.2503.9 (excluyendo) |
| cpe:2.3:a:splunk:splunk_cloud_platform:10.1.2507:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página