CrowdStrike - CVE-2026-40050

Date de publication : 23/04/2026

Il s'agit d'une vulnérabilité de traversée de répertoire combinée à une absence d'authentification sur un endpoint d'API cluster de CrowdStrike LogScale.

CrowdStrike LogScale est une plateforme de gestion et d'analyse de logs à haute performance, destinée aux équipes de sécurité et aux opérations IT. Elle ingère, indexe et permet l'interrogation de volumes massifs de données de journalisation en temps quasi réel. Elle est déployée soit en mode SaaS, soit en auto-hébergement (self-hosted) dans les environnements nécessitant une souveraineté des données.

Cet endpoint spécifique ne met en œuvre aucun mécanisme d'authentification, et la validation des chemins fournis dans les requêtes est insuffisante. Un attaquant distant peut envoyer des requêtes forgées à cet endpoint pour sortir du répertoire racine autorisé et accéder à des fichiers arbitraires du système de fichiers serveur. L'exploitation ne requiert aucune authentification ni interaction utilisateur.

Elle permet à un attaquant distant non authentifié d'accéder en lecture à tout fichier accessible par le processus LogScale, incluant des fichiers de configuration, des secrets, des certificats ou des données de logs stockées sur le serveur.

CVE-2026-40050

[Score CVSS v3.1 : 9.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Atteinte à la confidentialité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-22 : Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

• LogScale Self-Hosted versions 1.224.0 jusqu'à 1.234.0 inclus (GA)
• LogScale Self-Hosted LTS versions 1.228.0 et 1.228.1

Contournement provisoire

Pour les clients SaaS, CrowdStrike a déployé des blocages au niveau de la couche réseau sur l'ensemble des clusters le 7 avril 2026. Les clients Next-Gen SIEM ne sont pas affectés et n'ont aucune action à entreprendre.

Solutions ou recommandations

•   LogScale Self-Hosted version 1.235.1 et supérieures
•   LogScale Self-Hosted version 1.234.1 et supérieures (branche 1.234)
•   LogScale Self-Hosted version 1.233.1 et supérieures (branche 1.233)
•   LogScale Self-Hosted LTS version 1.228.2 et supérieures (branche LTS)