lỗ hổng CVE CVE-2026-40050 trên CrowdStrike LogScale là một cảnh báo CVE nghiêm trọng liên quan đến unauthenticated path traversal. Lỗ hổng cho phép kẻ tấn công từ xa đọc các tệp bất kỳ trên hệ thống tệp của máy chủ mà không cần xác thực, làm tăng đáng kể rủi ro bảo mật cho các triển khai Self-Hosted.
CVE-2026-40050 trong CrowdStrike LogScale
Lỗi tồn tại trong một cluster API endpoint cụ thể của CrowdStrike LogScale. Nếu endpoint này được truy cập từ bên ngoài, một remote attacker có thể lợi dụng path traversal vulnerability để vượt qua cấu trúc thư mục và truy cập các tệp nhạy cảm trên máy chủ.
Đây là một CVE nghiêm trọng với điểm CVSS v3.1: 9.8, phản ánh tác động lớn đến confidentiality, integrity và availability. Thông tin tham chiếu có thể đối chiếu thêm tại NVD.
Phạm vi ảnh hưởng của lỗ hổng CVE
lỗ hổng CVE này ảnh hưởng đến các phiên bản LogScale Self-Hosted GA 1.224.0 đến 1.234.0 (bao gồm cả hai đầu) và LogScale Self-Hosted LTS 1.228.0, 1.228.1.
Next-Gen SIEM không bị ảnh hưởng và không cần thực hiện hành động khắc phục cho lỗ hổng CVE này.
Điều kiện khai thác
Lỗ hổng chỉ có thể bị khai thác khi cluster API endpoint bị lộ ra ngoài. Khi đó, kẻ tấn công có thể thực hiện path traversal để đọc dữ liệu từ filesystem mà không cần credentials.
Cơ chế này tạo ra nguy cơ đọc các tệp cấu hình, log nội bộ, hoặc dữ liệu hệ thống khác nếu quyền truy cập không được kiểm soát đúng cách.
Trạng thái khai thác và giám sát
CrowdStrike cho biết chưa có dấu hiệu về active exploitation đối với lỗ hổng CVE này. Lỗ hổng được phát hiện nội bộ thông qua quy trình kiểm thử sản phẩm liên tục, không phải từ báo cáo bên ngoài hay từ một chiến dịch khai thác thực tế.
Đối với môi trường SaaS, CrowdStrike đã triển khai các chặn ở lớp mạng trên toàn bộ cluster vào ngày 7/4/2026, qua đó giảm thiểu rủi ro ở mức hạ tầng. Hãng cũng rà soát dữ liệu log và không ghi nhận dấu hiệu bị khai thác trong thực tế.
Hiện tại, CrowdStrike tiếp tục giám sát môi trường LogScale SaaS để phát hiện hành vi bất thường hoặc dấu hiệu lạm dụng liên quan đến lỗ hổng CVE này.
Hành động khắc phục cho Self-Hosted LogScale
Khách hàng đang vận hành Self-Hosted LogScale cần cập nhật bản vá ngay lên phiên bản đã được sửa lỗi. Bản vá không gây ảnh hưởng trực tiếp hay gián tiếp đến hiệu năng vận hành LogScale.
Sau khi cập nhật, tổ chức vẫn nên thực hiện kiểm tra theo quy trình phản ứng sự cố tiêu chuẩn để xác minh không có truy cập trái phép trước đó hoặc hành vi data exfiltration.
Yêu cầu kiểm tra sau vá lỗi
- Rà soát nhật ký truy cập của cluster API endpoint.
- Kiểm tra các tệp có khả năng bị đọc trái phép trên filesystem.
- Đối chiếu hoạt động bất thường trong log hệ thống và log ứng dụng.
- Xác minh không có dấu hiệu xâm nhập trái phép hoặc truy cập vào file nhạy cảm.
Bản vá bảo mật và tham chiếu kỹ thuật
Thông báo bảo mật chính thức của CrowdStrike cung cấp trạng thái hiện tại của lỗ hổng CVE và khuyến nghị khắc phục cho môi trường bị ảnh hưởng: CrowdStrike Security Advisory CVE-2026-40050.
Với các hệ thống Self-Hosted, việc áp dụng bản vá bảo mật cần được ưu tiên ngay khi có thể, đặc biệt nếu cluster API endpoint đang được expose ra mạng ngoài.
Điểm cần lưu ý khi đánh giá rủi ro bảo mật
lỗ hổng CVE này không yêu cầu xác thực, vì vậy nguy cơ nằm ở khả năng đọc file trực tiếp từ máy chủ mà không cần tài khoản hợp lệ. Trong bối cảnh triển khai thực tế, đây là một rủi ro bảo mật cao vì có thể dẫn đến lộ cấu hình, khóa bí mật, hoặc thông tin vận hành nội bộ.
Do CVSS 9.8, các đội vận hành nên ưu tiên kiểm tra exposure của endpoint, xác nhận phiên bản đang chạy, và triển khai cập nhật bản vá cho toàn bộ hệ thống Self-Hosted còn nằm trong phạm vi ảnh hưởng của lỗ hổng CVE.
