Plataforma
rust
Componente
rustfs
Corregido en
1.0.1
1.0.0-alpha.79
CVE-2026-22043 describe una vulnerabilidad de elevación de privilegios en rustfs. Esta falla se debe a un cortocircuito defectuoso deny_only en el sistema IAM de RustFS, permitiendo que una cuenta de servicio restringida o credenciales STS se auto-emitan una cuenta de servicio sin restricciones, heredando los privilegios completos del padre. La vulnerabilidad afecta a versiones anteriores a 1.0.0-alpha.79 y se ha solucionado en esta versión.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a recursos y realizar acciones que normalmente estarían fuera de su alcance. Esto podría incluir la modificación de datos sensibles, la interrupción de servicios o el compromiso de la integridad del sistema. La capacidad de auto-emitir cuentas de servicio con privilegios completos permite una escalada significativa de privilegios, similar a la explotación observada en CVE-2025-62506 en MinIO. El impacto potencial es alto, especialmente en entornos donde se utilizan cuentas de servicio con privilegios limitados para tareas específicas.
La vulnerabilidad fue publicada el 8 de enero de 2026. No se ha confirmado la explotación activa en entornos de producción, pero la naturaleza de la vulnerabilidad y su similitud con CVE-2025-62506 sugieren un riesgo potencial. Se recomienda monitorear los sistemas afectados para detectar cualquier actividad sospechosa. La vulnerabilidad no se ha añadido al KEV de CISA al momento de la redacción.
Organizations heavily reliant on RustFS for data storage and access control are at risk. This includes those using RustFS in multi-tenant environments or with complex IAM policies. Legacy configurations with overly permissive service account policies are particularly vulnerable.
• rust: Examine RustFS logs for unusual service account creation patterns or privilege escalation attempts. Look for requests that bypass policy checks.
# Example: Filter RustFS logs for service account creation events
zgrep 'service_account_created' /var/log/rustfs/audit.log• generic web: Monitor RustFS API endpoints for suspicious requests related to IAM operations.
# Example: Use curl to check for unauthorized access attempts
curl -v https://rustfs.example.com/iam/create_service_account -H "Authorization: Bearer <restricted_token>"disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
La mitigación principal es actualizar a la versión 1.0.0-alpha.79 o posterior de rustfs. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso adicionales para limitar el impacto potencial. Esto podría incluir la revisión y el endurecimiento de las políticas IAM, la restricción de los permisos de las cuentas de servicio y la monitorización de la actividad inusual. Implementar reglas de WAF o proxies para bloquear solicitudes sospechosas que intenten explotar esta vulnerabilidad también puede ser útil. Después de la actualización, confirme la corrección verificando que las cuentas de servicio restringidas no puedan auto-emitir cuentas con privilegios elevados.
Actualice RustFS a la versión 1.0.0-alpha.79 o superior. Esta versión corrige la vulnerabilidad de escalada de privilegios en el sistema IAM. La actualización evitará que cuentas de servicio restringidas puedan emitir cuentas sin restricciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-22043 is a vulnerability in RustFS that allows a restricted service account to escalate privileges by self-issuing an unrestricted account, bypassing policy restrictions.
You are affected if you are using RustFS versions prior to 1.0.0-alpha.79 and have not implemented mitigating controls.
Upgrade RustFS to version 1.0.0-alpha.79 or later. If immediate upgrade is not possible, review and restrict service account permissions.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature suggests a potential for exploitation.
Refer to the official RustFS security advisory for detailed information and updates: [https://rustfs.example.com/security/advisories/CVE-2026-22043](https://rustfs.example.com/security/advisories/CVE-2026-22043)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Cargo.lock y te decimos al instante si estás afectado.