PT-2026-6099 · Rustfs · Rustfs
Enitmar
+1
·
Publicado
2026-02-03
·
Atualizado
2026-02-23
·
CVE-2026-21862
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do RustFS anteriores à alpha.78
Descrição
O RustFS, um sistema de armazenamento de objetos distribuído, apresentava uma falha em seu mecanismo de controle de acesso. Especificamente, a função
get condition values confiava indevidamente nos cabeçalhos X-Forwarded-For e X-Real-Ip fornecidos pelos clientes, sem verificar um proxy confiável. Isso permitia que qualquer cliente acessível falsificasse o aws:SourceIp e contornasse políticas de lista de permissão de IP.Recomendações
Atualize para a versão alpha.78 ou posterior.
Exploit
Correção
Authentication Bypass by Spoofing
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rustfs