Un endpoint de API expuesto permite a atacantes remotos leer archivos arbitrarios del servidor sin credenciales. Clientes self-hosted en versiones 1.224.0 a 1.234.0 deben actualizar inmediatamente.
CrowdStrike publicó el martes un advisory de seguridad crítico para corregir una vulnerabilidad de path traversal sin autenticación en su plataforma LogScale. El fallo, identificado como CVE-2026-40050, ha recibido una puntuación CVSS v3.1 de 9.8 y permite a un atacante remoto leer archivos arbitrarios del sistema de archivos del servidor sin necesidad de credenciales.
La vulnerabilidad reside en un endpoint específico de la API de cluster que, si está expuesto a redes no autorizadas, puede ser explotado para acceder a archivos sensibles del servidor.
El advisory técnico de CrowdStrike detalla que la vulnerabilidad combina dos debilidades fundamentales: CWE-306, correspondiente a la ausencia de autenticación para una función crítica, y CWE-22, que describe una limitación incorrecta del nombre de ruta a un directorio restringido. Esta combinación permite que un atacante aproveche el endpoint vulnerable para recorrer la estructura de directorios del servidor y acceder a archivos de configuración, registros del sistema o credenciales almacenadas.
Las versiones afectadas incluyen LogScale Self-Hosted en sus releases GA desde la versión 1.224.0 hasta la 1.234.0 inclusive, así como las versiones LTS 1.228.0 y 1.228.1. Es importante destacar que los clientes de Next-Gen SIEM no están afectados y no requieren ninguna acción. Para los clientes de LogScale SaaS, CrowdStrike ya implementó bloqueos a nivel de capa de red en todos los clusters el 7 de abril de 2026, mitigando el riesgo desde la infraestructura. La compañía también realizó una revisión proactiva de todos los datos de logs y no encontró evidencia de explotación en entornos SaaS.
La responsabilidad recae principalmente en las organizaciones que mantienen instancias self-hosted de LogScale, especialmente aquellas con el endpoint de API expuesto a internet o redes internas no confiables. CrowdStrike ha liberado versiones parcheadas que eliminan completamente la vulnerabilidad sin impacto en el rendimiento del sistema. Las versiones seguras disponibles son: 1.235.1 o posterior, 1.234.1 o posterior, 1.233.1 o posterior, y para la rama LTS, la versión 1.228.2 o posterior. La actualización debe aplicarse inmediatamente en entornos productivos, priorizando aquellos con el endpoint de API accesible desde redes externas.
CrowdStrike identificó esta vulnerabilidad durante sus procesos continuos de pruebas de producto, lo que refleja un enfoque proactivo en la detección de fallos antes de que sean explotados. Hasta el momento, la compañía no tiene indicación de explotación activa en el wild y continúa monitoreando activamente los entornos SaaS en busca de señales de abuso.
Para organizaciones con instancias self-hosted, además de actualizar a una versión parcheada, se recomienda revisar los logs de acceso al endpoint de API del cluster y verificar que no haya habido intentos de explotación previos, buscando patrones de path traversal en las solicitudes HTTP registradas.
FUENTE ORIGINAL
CrowdStrike↗CURADO POR
Johan Ricardo