一、漏洞详情
RustFS 是一个使用Rust语言开发的高性能、高安全性、高并发的对象存储系统。
近日,监测到官方修复RustFS gRPC 身份认证绕过漏洞(CVE-2025-68926),该漏洞源于RustFS 的gRPC认证使用了硬编码的静态令牌'rustfs rpc',该令牌在源代码库中公开,客户端和服务器端均为硬编码,不可配置且没有令牌轮换机制,对所有RustFS部署均有效。攻击者可以利用此公开的静态令牌进行身份验证,并执行包括数据销毁、策略操纵和集群配置更改在内的特权操作。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
RustFS < 1.0.0-alpha.77
三、修复建议
官方已发布安全补丁,请及时更新至最新版本:
RustFS >= 1.0.0-alpha.77
