PT-2026-44467 · Rustfs · Rustfs
Skandragon
·
Publicado
2026-05-28
·
Atualizado
2026-05-28
·
CVE-2026-45039
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
RustFS versões anteriores a 1.0.0-beta.2
Descrição
A camada RPC internode autentica requisições usando uma assinatura HMAC-SHA256 com um segredo compartilhado. A função
get shared secret() em crates/ecstore/src/rpc/http auth.rs utiliza por padrão uma chave pública incorporada na árvore de origem DEFAULT SECRET KEY ("rustfsadmin") caso a variável de ambiente RUSTFS RPC SECRET e a chave secreta global do S3 não estejam configuradas.Recomendações
Atualize para a versão 1.0.0-beta.2.
Configure a variável de ambiente
RUSTFS RPC SECRET ou a chave secreta global do S3 para evitar o uso da chave secreta padrão.Correção
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Rustfs