Platform
rust
Component
rustfs
Opgelost in
1.0.1
1.0.0-alpha.79
CVE-2025-68705 beschrijft een Path Traversal kwetsbaarheid in rustfs. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden te lezen en mogelijk te schrijven op het systeem. De kwetsbaarheid is te vinden in de /rustfs/rpc/readfilestream endpoint, specifiek door onvoldoende padvalidatie. De kwetsbaarheid beïnvloedt versies van rustfs die ouder zijn dan 1.0.0-alpha.79. Een update naar de meest recente versie is vereist om dit probleem te verhelpen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op het systeem. Een aanvaller kan bijvoorbeeld configuratiebestanden, sleutels of andere gevoelige gegevens lezen. In sommige scenario's kan de aanvaller ook bestanden schrijven, waardoor de integriteit van het systeem in gevaar komt. Het ontbreken van adequate padvalidatie in crates/ecstore/src/disk/local.rs:1791 maakt deze exploitatie mogelijk. Dit is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij een aanvaller paden kan manipuleren om toegang te krijgen tot gebieden buiten de beoogde directory.
Op dit moment is er geen publieke exploitatie van CVE-2025-68705 bekend. De kwetsbaarheid is openbaar gemaakt op 2026-01-07. De CVSS score is 7.5 (HIGH), wat wijst op een potentieel risico. Er is geen vermelding op de CISA KEV catalogus op het moment van schrijven. Het is aan te raden om de kwetsbaarheid te patchen om verdere exploitatie te voorkomen.
Systems utilizing rustfs for file storage or data access are at risk, particularly those with exposed RPC endpoints. Environments with legacy configurations or those lacking robust access controls are especially vulnerable. Shared hosting environments where multiple users share the same rustfs instance are also at increased risk.
• rust: Examine logs for requests to /rustfs/rpc/readfilestream containing path traversal sequences (e.g., ../).
• generic web: Use curl to test the endpoint with various path traversal payloads: curl 'http://<rustfsendpoint>/rustfs/rpc/readfile_stream?path=../../../../etc/passwd'
• generic web: Monitor access logs for unusual file access patterns originating from the /rustfs/rpc/readfilestream endpoint.
• generic web: Check for unexpected files appearing in the rustfs data directory.
disclosure
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2025-68705 is het upgraden van rustfs naar versie 1.0.0-alpha.79 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om de /rustfs/rpc/readfilestream endpoint te beveiligen en verdachte padmanipulaties te blokkeren. Controleer de configuratie van rustfs om er zeker van te zijn dat er geen onnodige rechten zijn verleend aan gebruikers of processen. Na de upgrade, bevestig de correcte werking door te proberen een bestand buiten de toegestane directory te benaderen via de /rustfs/rpc/readfilestream endpoint; dit zou moeten resulteren in een foutmelding.
Actualice RustFS a la versión 1.0.0-alpha.79 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. La actualización se puede realizar mediante el sistema de gestión de paquetes de Rust, Cargo.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-68705 is a Path Traversal vulnerability in rustfs, allowing attackers to potentially read or write arbitrary files due to insufficient path validation in the /rustfs/rpc/readfilestream endpoint.
You are affected if you are using a version of rustfs prior to 1.0.0-alpha.79. Assess your environment to determine if you are using a vulnerable version.
Upgrade to rustfs version 1.0.0-alpha.79 or later to address the path validation issue. Consider implementing WAF rules as a temporary mitigation.
While no active exploitation has been publicly confirmed, the vulnerability's ease of exploitation and potential impact make it a high-priority concern.
Refer to the rustfs project's official communication channels and security advisories for the latest information regarding CVE-2025-68705.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Cargo.lock-bestand en we vertellen je direct of je getroffen bent.