一、基本情况
RustFS是一个使用Rust语言开发的高性能、高安全性、高并发的对象存储系统。
二、漏洞描述
官方修复RustFS gRPC身份认证绕过漏洞(CVE-2025-68926),该漏洞源于RustFS的gRPC认证使用了硬编码的静态令牌'rustfs rpc',该令牌在源代码库中公开,客户端和服务器端均为硬编码,不可配置且没有令牌轮换机制,对所有RustFS部署均有效。攻击者可以利用此公开的静态令牌进行身份验证,并执行包括数据销毁、策略操纵和集群配置更改在内的特权操作。
三、影响范围
RustFS < 1.0.0-alpha.77
四、修复建议
官方已发布安全补丁,请及时更新至最新版本:
RustFS >= 1.0.0-alpha.77
