CVE-2026-22782

Nome do Software Vulnerável e Versões Afetadas Versões do RustFS de 1.0.0-alpha.1 até 1.0.0-alpha.79

Descrição O RustFS é um sistema de armazenamento de objetos distribuído desenvolvido em Rust. Assinaturas RPC inválidas fazem com que o servidor registre em log o segredo HMAC compartilhado e a assinatura esperada. Isso expõe o segredo aos leitores de log, potencialmente permitindo chamadas RPC forjadas. A vulnerabilidade reside no arquivo crates/ecstore/src/rpc/http auth.rs, especificamente dentro da ramificação de assinatura inválida, onde dados sensíveis são registrados. Qualquer requisição com assinatura inválida aciona este registro, e a função é acessível a partir de manipuladores de requisição RPC e administrativos. As informações registradas incluem o secret e o expected signature, ambos derivados da chave HMAC compartilhada.

Recomendações Atualize para a versão 1.0.0-alpha.80 ou posterior do RustFS.