HIGHCVE-2025-68705CVSS 7.5

RustFS パス・トラバーサル脆弱性

Q: CVE-2025-68705 — パストレーバーサル脆弱性はrustfsで何が起こりますか？

CVE-2025-68705は、rustfsの`/rustfs/rpc/read_file_stream`エンドポイントにおけるパストラバーサル脆弱性であり、攻撃者が任意のファイルを読み書きできる可能性があります。

Q: CVE-2025-68705 — rustfsで影響は受けますか？

rustfsを使用しているシステムは、この脆弱性の影響を受ける可能性があります。特に、ファイル共有サービスやストレージシステムを運用している組織は注意が必要です。

Q: CVE-2025-68705 — rustfsを修正するにはどうすればよいですか？

1.0.0-alpha.79へのアップデートが推奨されます。アップデートが困難な場合は、WAFルールを実装するか、ファイルパスの検証を強化するカスタムコードを導入してください。

Q: CVE-2025-68705は積極的に悪用されていますか？

現時点では、積極的に悪用されているという報告はありませんが、パストラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。

Q: CVE-2025-68705のrustfs公式アドバイザリはどこで入手できますか？

rustfsの公式アドバイザリは、プロジェクトのウェブサイトまたは関連するセキュリティコミュニティで確認してください。

プラットフォーム

rust

コンポーネント

rustfs

修正版

1.0.1

1.0.0-alpha.79

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-68705は、rustfsの/rustfs/rpc/readfilestreamエンドポイントにおけるパストラバーサル脆弱性です。この脆弱性により、認証されていない攻撃者は、不適切なパス検証により、システム上の任意のファイルを読み書きできる可能性があります。影響を受けるバージョンは特定されていませんが、1.0.0-alpha.79で修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がファイルシステムを自由に探索し、機密情報を盗み出したり、悪意のあるファイルを書き込んだりすることを可能にします。特に、重要な設定ファイルや認証情報が格納されているファイルが危険にさらされる可能性があります。攻撃者は、この脆弱性を悪用して、システム全体の制御を奪取する可能性も否定できません。類似の脆弱性は、ファイル共有サービスやストレージシステムで悪用される事例が見られます。

悪用の状況

この脆弱性は、2026年1月7日に公開されました。現時点では、KEVに登録されていません。公開されているPoCは確認されていませんが、パストラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。NVDおよびCISAの情報を継続的に監視し、最新の脅威動向を把握することが重要です。

リスク対象者翻訳中…

Systems utilizing rustfs for file storage or data access are at risk, particularly those with exposed RPC endpoints. Environments with legacy configurations or those lacking robust access controls are especially vulnerable. Shared hosting environments where multiple users share the same rustfs instance are also at increased risk.

検出手順翻訳中…

• rust: Examine logs for requests to /rustfs/rpc/readfilestream containing path traversal sequences (e.g., ../). • generic web: Use curl to test the endpoint with various path traversal payloads: curl 'http://<rustfsendpoint>/rustfs/rpc/readfile_stream?path=../../../../etc/passwd' • generic web: Monitor access logs for unusual file access patterns originating from the /rustfs/rpc/readfilestream endpoint. • generic web: Check for unexpected files appearing in the rustfs data directory.

攻撃タイムライン

2026-01-07Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.04% (13% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントrustfs

ベンダーosv

影響範囲修正版

>= 1.0.0-alpha.13, < 1.0.0-alpha.79 – >= 1.0.0-alpha.13, < 1.0.0-alpha.791.0.1

1.0.0-alpha.131.0.0-alpha.79

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-12-23
公開日2026-01-07
更新日2026-02-03
EPSS 更新日2026-03-23

緩和策と回避策

1.0.0-alpha.79へのアップデートが推奨されます。アップデートが困難な場合は、/rustfs/rpc/readfilestreamエンドポイントへのアクセスを制限するWAFルールを実装するか、ファイルパスの検証を強化するカスタムコードを導入することを検討してください。ファイルパスの検証には、許可されたディレクトリのみへのアクセスを制限するホワイトリスト方式を採用することが重要です。また、ファイルアクセスログを監視し、異常なアクセスパターンを検出することも有効です。

修正方法翻訳中…

Actualice RustFS a la versión 1.0.0-alpha.79 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. La actualización se puede realizar mediante el sistema de gestión de paquetes de Rust, Cargo.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-68705 — パストレーバーサル脆弱性はrustfsで何が起こりますか？

CVE-2025-68705は、rustfsの/rustfs/rpc/readfilestreamエンドポイントにおけるパストラバーサル脆弱性であり、攻撃者が任意のファイルを読み書きできる可能性があります。

CVE-2025-68705 — rustfsで影響は受けますか？