En bref

  • CrowdStrike publie un correctif d'urgence pour CVE-2026-40050, faille critique de path traversal notée 9.8 sur LogScale.
  • L'API cluster exposée laisse un attaquant non authentifié lire n'importe quel fichier du serveur, y compris secrets et clés.
  • Les versions Self-Hosted GA 1.224.0 à 1.234.0 et LTS 1.228.0 / 1.228.1 doivent être patchées vers 1.235.1, 1.234.1, 1.233.1 ou 1.228.2 LTS sans délai.

Ce qui s'est passé

CrowdStrike a publié le 24 avril 2026 un avis de sécurité critique concernant CVE-2026-40050, une vulnérabilité de traversée de répertoire affectant LogScale, sa plateforme de SIEM et d'analyse de logs. Le score CVSS v3.1 atteint 9.8, l'éditeur classant le défaut comme exploitable à distance et sans authentification. La faille réside dans un endpoint d'API cluster qui, lorsqu'il est exposé sur le réseau, permet à un attaquant de remonter l'arborescence du système de fichiers et de lire n'importe quel fichier accessible au processus LogScale.

D'après l'avis publié par CrowdStrike, les clients SaaS sont déjà protégés depuis le 7 avril 2026 grâce à un blocage déployé au niveau réseau sur l'ensemble des clusters. L'éditeur indique avoir analysé rétrospectivement les logs et n'avoir détecté aucune trace d'exploitation. En revanche, les déploiements LogScale Self-Hosted restent vulnérables tant que les administrateurs n'ont pas appliqué les correctifs.

Les versions impactées sont LogScale Self-Hosted GA 1.224.0 à 1.234.0 inclus, ainsi que les variantes LTS 1.228.0 et 1.228.1. Les correctifs disponibles sont 1.235.1, 1.234.1, 1.233.1 et 1.228.2 LTS, ou plus récentes.

Pourquoi c'est important

LogScale est typiquement déployé au cœur des SOC et concentre des données extrêmement sensibles : journaux d'authentification, requêtes Active Directory, audits applicatifs et alertes EDR. Une lecture arbitraire de fichiers sur le serveur ouvre la porte à l'extraction de fichiers de configuration, de tokens API, de credentials de base de données, voire de clés privées TLS. Pour un attaquant, c'est un point de pivot idéal vers le reste de l'infrastructure de détection.

Le timing est également défavorable : l'avis arrive quelques jours après l'ajout par la CISA de plusieurs nouvelles failles à son catalogue KEV, et alors que les équipes de sécurité gèrent déjà la pression de patchs comme la RCE n8n CVE-2026-21858 ou la prise de contrôle nginx-ui via MCP. Les administrateurs de LogScale doivent traiter CVE-2026-40050 comme prioritaire, même en l'absence d'exploitation publique connue : la fenêtre se réduit dès la publication du PoC.

Ce qu'il faut retenir

  • Identifier toutes les instances LogScale Self-Hosted et vérifier leur version exacte avant fin de semaine.
  • Appliquer immédiatement le correctif 1.235.1, 1.234.1, 1.233.1 ou 1.228.2 LTS selon la branche en production.
  • Restreindre l'exposition de l'API cluster derrière un VPN ou un ACL réseau, et faire tourner les secrets stockés sur le serveur si une exposition publique est confirmée.

CrowdStrike LogScale SaaS est-il concerné par CVE-2026-40050 ?

Non. CrowdStrike a déployé dès le 7 avril 2026 un blocage réseau sur l'ensemble des clusters SaaS, neutralisant l'endpoint vulnérable. Seules les instances LogScale Self-Hosted nécessitent une intervention manuelle pour appliquer le correctif.

Quels fichiers un attaquant peut-il lire en exploitant cette faille ?

Tout fichier accessible au processus LogScale : configuration applicative, fichiers d'environnement contenant des credentials, clés privées TLS, jetons d'API d'intégrations EDR ou SIEM. Les conséquences vont du vol de secrets à un pivot complet vers les sources de logs connectées.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact