CVE-2026-40937

Name of the Vulnerable Software and Affected Versions RustFS versões anteriores a 1.0.0-alpha.94

Description Quatro endpoints de API de administração de destino de notificação em rustfs/src/admin/handlers/event.rs utilizam um auxiliar check permissions que valida a autenticação, mas falha ao realizar a autorização de ação administrativa via validate admin request(). Isso permite que um usuário não administrador sobrescreva um destino de notificação definido pelo administrador por nome, possibilitando a interceptação de eventos de bucket e a evasão de auditoria ao redirecionar dados para um endpoint controlado por um invasor.

Recommendations Atualizar para a versão 1.0.0-alpha.94.