CVE-2025-68926

Nome do Software Vulnerável e Versões Afetadas Versões do RustFS anteriores à 1.0.0-alpha.77

Descrição O RustFS, um sistema de armazenamento de objetos distribuído desenvolvido em Rust, utiliza um token estático hardcoded, "rustfs rpc", para autenticação gRPC em versões anteriores à 1.0.0-alpha.77. Este token está publicamente exposto no repositório de código-fonte, hardcoded tanto no lado do cliente quanto no do servidor, e carece de um mecanismo de rotação. Um atacante com acesso de rede à porta gRPC pode utilizar este token para se autenticar e realizar operações privilegiadas, incluindo destruição de dados, manipulação de políticas e alterações na configuração do cluster. Relatos indicam mais de 250 instâncias do RustFS publicamente acessíveis em todo o mundo. A questão envolve uma credencial hardcoded que permite o bypass de autenticação em instâncias expostas à internet através da porta de gerenciamento gRPC. A vulnerabilidade foi introduzida em 27 de setembro de 2024, divulgada em 1 de outubro de 2024 e corrigida em 5 de janeiro de 2026, resultando em aproximadamente 15 meses de exposição. O endpoint da API utilizado para autenticação é o serviço gRPC, e o parâmetro vulnerável é o cabeçalho authorization, que espera o valor "rustfs rpc".

Recomendações Atualize para a versão 1.0.0-alpha.77 ou posterior.