CVE-2026-20251 : RCE via désérialisation jsonpickle dans Splunk Secure Gateway (CVSS 8.8)
🔍 Contexte Publié le 29 juin 2026 sur GitHub par le chercheur Fady Oueslati (ReactiveZero Security Research), ce dépôt documente la vulnérabilité CVE-2026-20251 affectant Splunk Secure Gateway (SSG), avec un score CVSS 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H). Un patch est disponible. 🐛 Vulnérabilité La faille repose sur une désérialisation non sécurisée via jsonpickle dans le composant SSG. Le flux d’exploitation est le suivant : Un attaquant authentifié (faibles privilèges) écrit un document malveillant dans la collection KV Store mobile_alerts via l’API REST Splunk. SSG lit ce document dans alerts_request_processor.py et le soumet au validateur check_alert_data_valid_json(). Le validateur court-circuite dès qu’il rencontre la clé py/object avec une valeur commençant par spacebridgeapp, retournant True sans inspecter les clés suivantes. Le document est ensuite passé à jsonpickle.decode(..., safe=True), qui exécute le gadget py/reduce présent dans la clé notification — le flag safe=True ne bloque pas ce chemin de code. 🎯 Impact Exécution de code arbitraire en tant que compte de service Splunk Nécessite uniquement un login Splunk valide à faibles privilèges Confidentialité, intégrité et disponibilité toutes compromises 📦 Versions affectées Branche Corrigé dans SSG 3.9.x 3.9.20 SSG 3.10.x 3.10.6 SSG 3.8.x 3.8.67 Splunk Enterprise 10.0.7 / 10.2.4 / 10.4.0+ Instance testée : SSG 3.9.19 sur Splunk Enterprise 10.0.6 (macOS x86_64). ...