CrowdStrike và Tenable vá các lỗ hổng bảo mật trong sản phẩm của mình

CrowdStrike và Tenable tuần này đã thông báo cho khách hàng về các lỗ hổng tiềm ẩn nghiêm trọng đã được phát hiện và khắc phục trong các sản phẩm của họ.

Minh họa bảo mật máy tính

CrowdStrike khắc phục lỗi trong LogScale

CrowdStrike đã đưa ra cảnh báo về CVE-2026-40050, một lỗ hổng duyệt đường dẫn không cần xác thực (unauthenticated path traversal) ở mức độ nghiêm trọng ảnh hưởng đến sản phẩm LogScale của hãng. Lỗi này có thể cho phép kẻ tấn công từ xa đọc các tệp tin tùy ý từ hệ thống tệp của máy chủ.

Gã khổng lồ an ninh mạng này nhấn mạnh rằng khách hàng sử dụng Next-Gen SIEM không bị ảnh hưởng và lỗ hổng đã được giảm thiểu đối với khách hàng sử dụng LogScale dưới dạng dịch vụ (SaaS).

Tuy nhiên, khách hàng tự lưu trữ (Self-hosted) LogScale được khuyến nghị cập nhật lên phiên bản đã được vá. CrowdStrike cho biết lỗ hổng này được phát hiện nội bộ và không có bằng chứng nào cho thấy nó đã bị khai thác trong thực tế dựa trên việc xem xét dữ liệu nhật ký.

Tenable xử lý lỗi trong Nessus

Cùng trong tuần, Tenable đã công bố hai cảnh báo mới mô tả cùng một lỗ hổng mức độ cao được tìm thấy trong trình quét lỗ hổng Nessus của công ty, cụ thể là trên nền tảng Windows.

Lỗ hổng này được theo dõi dưới mã định danh CVE-2026-33694. Kẻ tấn công có thể khai thác nó thông qua các điểm kết nối (junctions) để xóa các tệp tin tùy ý với đặc quyền System. Việc khai thác cũng có thể dẫn đến thực thi mã tùy ý với các đặc quyền nâng cao.

Tenable đã công bố các cảnh báo riêng biệt cho Nessus và Nessus Agent để đảm bảo người dùng nắm rõ thông tin và thực hiện các biện pháp khắc phục cần thiết.

Các chuyên gia bảo mật luôn khuyến cáo người dùng và quản trị viên hệ thống nên áp dụng các bản vá bảo mật càng sớm càng tốt để ngăn chặn nguy cơ bị tấn công mạng.