https://cyberveille.ch/tags/splunk-secure-gateway/ Recent content in Splunk Secure Gateway on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Mon, 29 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-29-cve-2026-20251-rce-via-deserialisation-jsonpickle-dans-splunk-secure-gateway-cvss-8-8/ Mon, 29 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-29-cve-2026-20251-rce-via-deserialisation-jsonpickle-dans-splunk-secure-gateway-cvss-8-8/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 29 juin 2026 sur GitHub par le chercheur <strong>Fady Oueslati</strong> (ReactiveZero Security Research), ce dépôt documente la vulnérabilité <strong>CVE-2026-20251</strong> affectant <strong>Splunk Secure Gateway (SSG)</strong>, avec un score <strong>CVSS 8.8</strong> (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H). Un patch est disponible.</p> <h2 id="-vulnérabilité">🐛 Vulnérabilité</h2> <p>La faille repose sur une <strong>désérialisation non sécurisée via jsonpickle</strong> dans le composant SSG. Le flux d&rsquo;exploitation est le suivant :</p> <ul> <li>Un attaquant authentifié (faibles privilèges) écrit un document malveillant dans la collection <strong>KV Store <code>mobile_alerts</code></strong> via l&rsquo;API REST Splunk.</li> <li>SSG lit ce document dans <code>alerts_request_processor.py</code> et le soumet au validateur <code>check_alert_data_valid_json()</code>.</li> <li>Le validateur <strong>court-circuite</strong> dès qu&rsquo;il rencontre la clé <code>py/object</code> avec une valeur commençant par <code>spacebridgeapp</code>, retournant <code>True</code> sans inspecter les clés suivantes.</li> <li>Le document est ensuite passé à <code>jsonpickle.decode(..., safe=True)</code>, qui exécute le gadget <strong><code>py/reduce</code></strong> présent dans la clé <code>notification</code> — le flag <code>safe=True</code> ne bloque pas ce chemin de code.</li> </ul> <h2 id="-impact">🎯 Impact</h2> <ul> <li><strong>Exécution de code arbitraire</strong> en tant que compte de service Splunk</li> <li>Nécessite uniquement un <strong>login Splunk valide à faibles privilèges</strong></li> <li>Confidentialité, intégrité et disponibilité toutes compromises</li> </ul> <h2 id="-versions-affectées">📦 Versions affectées</h2> <table> <thead> <tr> <th>Branche</th> <th>Corrigé dans</th> </tr> </thead> <tbody> <tr> <td>SSG 3.9.x</td> <td>3.9.20</td> </tr> <tr> <td>SSG 3.10.x</td> <td>3.10.6</td> </tr> <tr> <td>SSG 3.8.x</td> <td>3.8.67</td> </tr> <tr> <td>Splunk Enterprise</td> <td>10.0.7 / 10.2.4 / 10.4.0+</td> </tr> </tbody> </table> <p>Instance testée : SSG 3.9.19 sur Splunk Enterprise 10.0.6 (macOS x86_64).</p>