PT-2026-2144 · Rustfs · Rustfs
Threonine
·
Publicado
2026-01-08
·
Atualizado
2026-01-08
·
CVE-2026-22043
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do RustFS de 1.0.0-alpha.13 até 1.0.0-alpha.78
Descrição
O RustFS é um sistema de armazenamento de objetos distribuído construído em Rust. Uma falha na lógica de curto-circuito
deny only dentro do IAM do RustFS permite que uma conta de serviço restrita ou credencial STS crie uma conta de serviço sem restrições, adquirindo os privilégios completos da conta pai. Isso permite a escalonação de privilégios e contorna restrições de políticas de sessão ou inline. O componente vulnerável é o sistema IAM do RustFS, especificamente a lógica de curto-circuito deny only.Recomendações
Versões anteriores à 1.0.0-alpha.79 são afetadas e devem ser atualizadas para a versão 1.0.0-alpha.79 ou posterior.
Exploit
Correção
LPE
Insufficiently Protected Credentials
Improper Privilege Management
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Rustfs