Threonine

**Nome do Software Vulnerável e Versões Afetadas** Versões do RustFS anteriores à 1.0.0-alpha.79 **Descrição** O RustFS é um sistema de armazenamento de objetos distribuído desenvolvido em Rust. O endpoint da API `ImportIam` valida incorretamente as permissões usando `ExportIAMAction` em vez de `ImportIAMAction`. Isso permite que um principal com apenas permissões de exportação do IAM realize operações de importação. A importação de dados do IAM envolve ações de gravação privilegiadas, incluindo a criação ou modificação de usuários, grupos, políticas e contas de serviço, podendo levar à modificação não autorizada do IAM e escalonamento de privilégios. **Recomendações** Atualize para a versão 1.0.0-alpha.79 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do RustFS de 1.0.0-alpha.13 até 1.0.0-alpha.78 **Descrição** O RustFS é um sistema de armazenamento de objetos distribuído construído em Rust. Uma falha na lógica de curto-circuito `deny only` dentro do IAM do RustFS permite que uma conta de serviço restrita ou credencial STS crie uma conta de serviço sem restrições, adquirindo os privilégios completos da conta pai. Isso permite a escalonação de privilégios e contorna restrições de políticas de sessão ou inline. O componente vulnerável é o sistema IAM do RustFS, especificamente a lógica de curto-circuito `deny only`. **Recomendações** Versões anteriores à 1.0.0-alpha.79 são afetadas e devem ser atualizadas para a versão 1.0.0-alpha.79 ou posterior.