CVE-2026-45043

Nome do Software Vulnerável e Versões Afetadas RustFS versões anteriores a 1.0.0-beta.2

Description A validação inadequada no endpoint 'PUT /rustfs/admin/v3/import-iam' permite que um usuário com ImportIAMAction crie contas de serviço sob identidades pai arbitrárias, incluindo o usuário raiz (minioadmin). O endpoint aceita valores de parent, claims, accessKey e secretKey controlados por um invasor sem impor limites de privilégios ou sanitização. Isso possibilita a escalada de privilégios para acesso administrativo total usando uma credencial persistente definida pelo invasor.

Recommendations Atualize para a versão 1.0.0-beta.2. Como medida paliativa temporária, restrinja o acesso ao endpoint 'PUT /rustfs/admin/v3/import-iam' ou limite a atribuição de permissões ImportIAMAction.