Plataforma
rust
Componente
rustfs
Corregido en
1.0.1
1.0.0-alpha.83
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en la consola de RustFS. Esta falla permite a un atacante ejecutar código JavaScript malicioso en el contexto de la consola de administración, comprometiendo la seguridad del sistema. La vulnerabilidad afecta a versiones anteriores a 1.0.0-alpha.83 y se ha solucionado en esta versión.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante inyectar código JavaScript malicioso en la consola de RustFS. Al aprovechar la lógica de previsualización de PDF, un atacante puede robar credenciales de administrador almacenadas en localStorage. Esto conduce a una toma de control completa de la cuenta y, potencialmente, a la comprometer todo el sistema. La falta de separación de origen entre la entrega de objetos S3 y la consola de administración agrava el riesgo, facilitando la inyección de código malicioso. El impacto es crítico, ya que un atacante puede obtener acceso no autorizado a datos confidenciales y realizar acciones en nombre del administrador.
La vulnerabilidad CVE-2026-27822 fue publicada el 25 de febrero de 2026. No se ha reportado explotación activa a la fecha, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo potencial. La falta de una mitigación adecuada podría resultar en un ataque exitoso. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.
Organizations utilizing RustFS Console for file storage and management are at risk, particularly those relying on the console for administrative tasks. Environments with shared hosting configurations or legacy RustFS Console deployments are especially vulnerable due to potentially outdated security practices and unpatched systems.
• rust: Examine RustFS Console logs for unusual file preview requests or JavaScript execution attempts.
• generic web: Use curl to test file preview endpoints with specially crafted payloads designed to trigger XSS.
curl -X POST -d 'payload=<script>alert(1)</script>' <rustfs_console_preview_url>• generic web: Review access and error logs for patterns indicative of XSS attempts, such as requests containing <script> tags or other suspicious characters.
• generic web: Check response headers for unexpected content types or other anomalies that might indicate a successful XSS attack.
disclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar RustFS a la versión 1.0.0-alpha.83 o posterior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de la entrada del usuario y la aplicación de políticas de seguridad de contenido (CSP) para restringir la ejecución de scripts desde fuentes no confiables. Además, monitorear los logs del sistema en busca de actividad sospechosa puede ayudar a detectar y responder a posibles ataques. Después de la actualización, confirme la corrección revisando los logs de auditoría y realizando pruebas de penetración.
Actualice RustFS a la versión 1.0.0-alpha.83 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en el modal de vista previa, evitando la posible toma de control de la cuenta administrativa.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27822 is a critical Stored Cross-Site Scripting (XSS) vulnerability in the RustFS Console that allows attackers to execute JavaScript and potentially steal administrator credentials.
You are affected if you are using RustFS Console versions prior to 1.0.0-alpha.83. Assess your environment immediately to determine if you are vulnerable.
Upgrade to RustFS Console version 1.0.0-alpha.83 or later. As a temporary workaround, implement a WAF to block suspicious file preview requests.
While no active exploitation has been publicly confirmed, the high severity of the vulnerability suggests a potential for exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the official RustFS security advisory for detailed information and updates regarding CVE-2026-27822.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Cargo.lock y te decimos al instante si estás afectado.