Plataforma
rust
Componente
rustfs
Corrigido em
1.0.1
1.0.0-alpha.83
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado foi descoberta no RustFS Console. Essa falha permite que um atacante execute código JavaScript arbitrário no contexto do console de gerenciamento, explorando uma falha na lógica de visualização de PDF. A exploração bem-sucedida pode resultar no roubo de credenciais de administrador armazenadas no localStorage, levando ao comprometimento total da conta e do sistema. A vulnerabilidade afeta versões anteriores a 1.0.0-alpha.83 e foi publicada em 25 de fevereiro de 2026. Uma correção está disponível na versão 1.0.0-alpha.83.
A vulnerabilidade XSS no RustFS Console representa um risco significativo para a segurança. Um atacante pode explorar essa falha para injetar scripts maliciosos que são executados no navegador de usuários legítimos, incluindo administradores. Ao comprometer a conta de administrador, o atacante pode obter acesso irrestrito ao sistema RustFS, permitindo a modificação de configurações, o acesso a dados confidenciais e a instalação de malware. A falta de separação de origem entre a entrega de objetos S3 e o console de gerenciamento agrava o impacto, facilitando a exploração. A capacidade de roubar credenciais de administrador do localStorage torna essa vulnerabilidade particularmente perigosa, pois permite a persistência do acesso mesmo após a exploração inicial.
A vulnerabilidade CVE-2026-27822 foi publicada em 25 de fevereiro de 2026. A probabilidade de exploração é considerada alta devido à natureza crítica da vulnerabilidade e à facilidade de exploração. Não há informações disponíveis sobre a inclusão da vulnerabilidade no KEV (Know Exploited Vulnerabilities) da CISA até o momento. Não há public proof-of-concept (PoC) amplamente divulgados, mas a natureza da vulnerabilidade XSS sugere que PoCs podem ser desenvolvidos rapidamente. É importante monitorar as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
Organizations utilizing RustFS Console for file storage and management are at risk, particularly those relying on the console for administrative tasks. Environments with shared hosting configurations or legacy RustFS Console deployments are especially vulnerable due to potentially outdated security practices and unpatched systems.
• rust: Examine RustFS Console logs for unusual file preview requests or JavaScript execution attempts.
• generic web: Use curl to test file preview endpoints with specially crafted payloads designed to trigger XSS.
curl -X POST -d 'payload=<script>alert(1)</script>' <rustfs_console_preview_url>• generic web: Review access and error logs for patterns indicative of XSS attempts, such as requests containing <script> tags or other suspicious characters.
• generic web: Check response headers for unexpected content types or other anomalies that might indicate a successful XSS attack.
disclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-27822 é atualizar o RustFS Console para a versão 1.0.0-alpha.83 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a aplicação de regras de firewall de aplicativos web (WAF) para bloquear solicitações maliciosas que tentam explorar a vulnerabilidade XSS. Além disso, revise e reforce as políticas de segurança do console de gerenciamento, incluindo a implementação de autenticação multifator (MFA) para proteger as contas de administrador. Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de injeção de script ou acesso não autorizado a dados confidenciais. Após a atualização, confirme a correção verificando se a visualização de arquivos não executa scripts maliciosos.
Atualize RustFS para a versão 1.0.0-alpha.83 ou superior. Esta versão corrige a vulnerabilidade XSS armazenada no modal de visualização, evitando a possível apropriação de conta administrativa.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-27822 is a critical Stored Cross-Site Scripting (XSS) vulnerability in the RustFS Console that allows attackers to execute JavaScript and potentially steal administrator credentials.
You are affected if you are using RustFS Console versions prior to 1.0.0-alpha.83. Assess your environment immediately to determine if you are vulnerable.
Upgrade to RustFS Console version 1.0.0-alpha.83 or later. As a temporary workaround, implement a WAF to block suspicious file preview requests.
While no active exploitation has been publicly confirmed, the high severity of the vulnerability suggests a potential for exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the official RustFS security advisory for detailed information and updates regarding CVE-2026-27822.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Cargo.lock e descubra na hora se você está afetado.