CVE-2025-68926
RustFS has a gRPC Hardcoded Token Authentication Bypass
Em resumo
RustFS usa um token fixo e público para autenticação que qualquer pessoa pode encontrar no código-fonte, permitindo que atacantes na rede se passem por usuários autorizados e deletem dados ou alterem configurações do sistema.
Detalhe técnico
RustFS anterior à v1.0.0-alpha.78 implementa autenticação gRPC via token estático hardcoded `"rustfs rpc"` exposto no repositório público, não-configurável e sem mecanismo de rotação. Qualquer atacante com acesso à rede do gRPC pode autenticar e executar operações privilegiadas incluindo destruição de dados e alteração de configuração de cluster (CWE-287: Autenticação Imprópria, CWE-798: Credenciais Hardcoded).
Resumo gerado e traduzido por IA a partir da descrição oficial.
RustFS is a distributed object storage system built in Rust. In versions prior to 1.0.0-alpha.78, RustFS implements gRPC authentication using a hardcoded static token `"rustfs rpc"` that is publicly exposed in the source code repository, hardcoded on both client and server sides, non-configurable with no mechanism for token rotation, and universally valid across all RustFS deployments. Any attacker with network access to the gRPC port can authenticate using this publicly known token and execute privileged operations including data destruction, policy manipulation, and cluster configuration changes. Version 1.0.0-alpha.78 contains a fix for the issue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
rustfs · rustfsPoCs públicas encontradas — 3
githubgithub.com/Chocapikk/CVE-2025-68926★ 10githubgithub.com/Arcueld/CVE-2025-68926★ 1githubgithub.com/materaj2/CVE-2025-68926-repo★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →