CVE-2026-27822

Nome do Software Vulnerável e Versões Afetadas Versões do RustFS anteriores à 1.0.0-alpha.83

Descrição O RustFS é um sistema de armazenamento de objetos distribuído desenvolvido em Rust. Uma vulnerabilidade de Cross-Site Scripting Armazenado (XSS) existe no Console do RustFS, permitindo que um atacante execute JavaScript arbitrário no contexto do console de gerenciamento. Ao burlar a lógica de visualização de PDF, um atacante pode roubar credenciais de administrador do localStorage, o que pode levar à tomada total da conta e comprometimento do sistema. A vulnerabilidade decorre da validação inadequada do tipo de conteúdo da resposta durante o processo de visualização de arquivos e da falta de separação de origens entre a entrega de objetos S3 e o console de gerenciamento. Um atacante pode enviar um arquivo com carga maliciosa disfarçada de PDF, que, ao ser visualizado, executa código JavaScript com acesso irrestrito ao localStorage da janela pai. Isso permite que o atacante roube credenciais S3 (AccessKeyId, SecretAccessKey e SessionToken) e realize ações administrativas. Estima-se que aproximadamente 25.000 serviços sejam encontrados anualmente que possam ser afetados.

Recomendações Atualize para a versão 1.0.0-alpha.83 ou posterior.