Rustfs · Rustfs · CVE-2026-27822
**Nome do Software Vulnerável e Versões Afetadas**
Versões do RustFS anteriores à 1.0.0-alpha.83
**Descrição**
O RustFS é um sistema de armazenamento de objetos distribuído desenvolvido em Rust. Uma vulnerabilidade de Cross-Site Scripting Armazenado (XSS) existe no Console do RustFS, permitindo que um atacante execute JavaScript arbitrário no contexto do console de gerenciamento. Ao burlar a lógica de visualização de PDF, um atacante pode roubar credenciais de administrador do `localStorage`, o que pode levar à tomada total da conta e comprometimento do sistema. A vulnerabilidade decorre da validação inadequada do tipo de conteúdo da resposta durante o processo de visualização de arquivos e da falta de separação de origens entre a entrega de objetos S3 e o console de gerenciamento. Um atacante pode enviar um arquivo com carga maliciosa disfarçada de PDF, que, ao ser visualizado, executa código JavaScript com acesso irrestrito ao `localStorage` da janela pai. Isso permite que o atacante roube credenciais S3 (AccessKeyId, SecretAccessKey e SessionToken) e realize ações administrativas. Estima-se que aproximadamente 25.000 serviços sejam encontrados anualmente que possam ser afetados.
**Recomendações**
Atualize para a versão 1.0.0-alpha.83 ou posterior.