Plataforma
rust
Componente
rustfs
Corregido en
1.0.1
1.0.0-alpha.78
La vulnerabilidad CVE-2025-68926 afecta a rustfs, un sistema de archivos implementado en Rust. Esta vulnerabilidad de bypass de autenticación permite a un atacante con acceso a la red autenticarse y ejecutar operaciones privilegiadas, incluyendo la manipulación de datos y la configuración del clúster. Afecta a versiones anteriores a 1.0.0-alpha.78 y se ha solucionado en la versión 1.0.0-alpha.78.
El impacto de esta vulnerabilidad es crítico. Un atacante puede explotarla para obtener acceso no autorizado a un sistema rustfs. Dado que la autenticación se basa en un token estático hardcodeado y públicamente disponible en el repositorio de código fuente, cualquier persona con acceso a la red puede autenticarse. Esto permite al atacante ejecutar operaciones con privilegios elevados, como la destrucción de datos, la modificación de políticas de seguridad y la alteración de la configuración del clúster. La falta de un mecanismo de rotación de tokens agrava aún más el riesgo, ya que el token comprometido permanecerá válido indefinidamente a menos que se realice una actualización. La simplicidad de la explotación la convierte en un objetivo atractivo para atacantes con diversos niveles de habilidad.
Esta vulnerabilidad ha sido publicada el 30 de diciembre de 2025. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la publicación, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación sugieren que podría serlo en el futuro. La disponibilidad pública del token en el repositorio de código fuente facilita la creación de pruebas de concepto (PoC). No se han reportado campañas de explotación activas a la fecha, pero la vulnerabilidad representa un riesgo significativo debido a su simplicidad y el impacto potencial.
Organizations deploying RustFS in production environments, particularly those with exposed gRPC ports, are at significant risk. Shared hosting environments or deployments where RustFS is accessible from untrusted networks are especially vulnerable. Legacy configurations that haven't been updated to the latest version are also at increased risk.
• rust: Examine RustFS source code for the hardcoded token "rustfs rpc".
• linux / server: Monitor gRPC traffic (port 50051 by default) for authentication attempts using the token "rustfs rpc". Use tcpdump or wireshark to capture and analyze network packets.
• generic web: Check RustFS gRPC endpoints for unauthorized access. Use curl to attempt authentication with the known token: curl -H 'Authorization: rustfs rpc' <grpc_endpoint>.
disclosure
Estado del Exploit
EPSS
10.61% (93% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-68926 es actualizar a la versión 1.0.0-alpha.78 o superior de rustfs. Si la actualización no es inmediatamente posible, se recomienda aislar los sistemas rustfs afectados de la red pública para limitar el riesgo de exposición. Aunque no es una solución completa, la implementación de un firewall que bloquee el acceso no autorizado al puerto gRPC puede reducir la superficie de ataque. La monitorización del tráfico de red en busca de patrones de autenticación sospechosos también puede ayudar a detectar intentos de explotación. Después de la actualización, confirme la corrección verificando que el token de autenticación ya no esté hardcodeado y que se utilice un mecanismo de autenticación seguro.
Actualice RustFS a la versión 1.0.0-alpha.78 o superior. Esta versión corrige la vulnerabilidad de autenticación mediante token hardcoded. La actualización eliminará el token estático y requerirá una configuración de autenticación más segura.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68926 is a critical vulnerability in RustFS where a hardcoded, publicly exposed token allows attackers to bypass authentication and gain privileged access.
If you are running RustFS versions prior to 1.0.0-alpha.78, you are affected by this vulnerability. Assess your deployments immediately.
Upgrade RustFS to version 1.0.0-alpha.78 or later to resolve the authentication bypass vulnerability. This is the recommended and primary mitigation.
While there is no confirmed active exploitation at this time, the ease of exploitation suggests it is likely to be targeted soon. Monitor your systems closely.
Refer to the official RustFS project repository and release notes for the advisory and detailed information regarding the fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Cargo.lock y te decimos al instante si estás afectado.