Se ha descubierto una vulnerabilidad de severidad crítica en productos CrowdStrike. Un actor malicioso podría realizar la lectura de archivos arbitrarios del sistema de archivos del servidor.
Productos afectados
CrowdStrike LogScale:
- Versiones GA 1.224.0 a 1.233.0.
- Versiones GA 1.234.x anteriores a la 1.234.1.
- Versiones LTS 1.228.x (1.228.1 y anteriores).
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–40050: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de salto de directorio por ausencia de autenticación en una función crítica. Un actor malicioso remoto y no autenticado podría realizar peticiones a un punto final específico de la API del clúster para acceder y leer archivos arbitrarios del sistema de archivos del servidor, comprometiendo la confidencialidad técnica del sistema.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias