HIGHCVE-2025-68705CVSS 7.5

RustFS 路径遍历漏洞

Q: 什么是 CVE-2025-68705 — 路径遍历漏洞在 rustfs 中的表现？

CVE-2025-68705 是 rustfs 中的一个路径遍历漏洞，允许攻击者绕过安全检查，读取或写入任意文件。这是由于 `/rustfs/rpc/read_file_stream` 端点缺乏充分的路径验证造成的。

Q: 我是否会受到 CVE-2025-68705 在 rustfs 中的影响？

如果您正在使用低于 1.0.0-alpha.79 的 rustfs 版本，则您可能会受到此漏洞的影响。请立即升级到最新版本以修复此问题。

Q: 我如何修复 CVE-2025-68705 在 rustfs 中的问题？

最简单的修复方法是升级到 rustfs 1.0.0-alpha.79 或更高版本。如果升级不可行，请考虑使用 WAF 或代理服务器来过滤恶意请求。

Q: CVE-2025-68705 是否正在被积极利用？

目前尚未确认有正在积极利用此漏洞的活动，但由于漏洞的严重性，预计未来可能会出现。

Q: 在哪里可以找到 rustfs 官方关于 CVE-2025-68705 的公告？

请查阅 rustfs 官方文档或 GitHub 仓库，以获取有关 CVE-2025-68705 的最新信息和公告。

平台

rust

组件

rustfs

修复版本

1.0.1

1.0.0-alpha.79

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-68705 是 rustfs 中的路径遍历漏洞，由于 /rustfs/rpc/readfilestream 端点缺乏充分的路径验证，攻击者可以利用此漏洞读取或写入任意文件。该漏洞影响所有低于 1.0.0-alpha.79 的 rustfs 版本。已发布 1.0.0-alpha.79 版本修复此问题。

影响与攻击场景

此路径遍历漏洞允许攻击者绕过安全机制，访问或修改系统上的敏感文件。攻击者可以利用此漏洞读取配置文件、密钥文件或数据库文件，从而获取敏感信息。更严重的是，攻击者可能能够写入任意文件，覆盖重要系统文件或执行恶意代码，导致系统完全被控制。由于 rustfs 经常用于存储和检索数据，因此此漏洞的潜在影响非常大，可能导致数据泄露、系统损坏和业务中断。类似于其他路径遍历漏洞，攻击者可能需要先找到一个可利用的入口点，然后构造一个恶意的文件路径来访问目标文件。

利用背景

目前尚无公开的利用程序 (PoC)，但由于漏洞的严重性和易利用性，预计未来可能会出现。该漏洞已于 2026-01-07 公开，目前未被添加到 CISA KEV 目录。攻击者可能正在积极扫描易受攻击的系统，并尝试利用此漏洞。

哪些人处于风险中翻译中…

Systems utilizing rustfs for file storage or data access are at risk, particularly those with exposed RPC endpoints. Environments with legacy configurations or those lacking robust access controls are especially vulnerable. Shared hosting environments where multiple users share the same rustfs instance are also at increased risk.

检测步骤翻译中…

• rust: Examine logs for requests to /rustfs/rpc/readfilestream containing path traversal sequences (e.g., ../). • generic web: Use curl to test the endpoint with various path traversal payloads: curl 'http://<rustfsendpoint>/rustfs/rpc/readfile_stream?path=../../../../etc/passwd' • generic web: Monitor access logs for unusual file access patterns originating from the /rustfs/rpc/readfilestream endpoint. • generic web: Check for unexpected files appearing in the rustfs data directory.

攻击时间线

2026-01-07Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

EPSS

0.04% (13% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件rustfs

供应商osv

影响范围修复版本

>= 1.0.0-alpha.13, < 1.0.0-alpha.79 – >= 1.0.0-alpha.13, < 1.0.0-alpha.791.0.1

1.0.0-alpha.131.0.0-alpha.79

弱点分类 (CWE)

CWE-22

时间线

已保留2025-12-23
发布日期2026-01-07
修改日期2026-02-03
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将 rustfs 升级到 1.0.0-alpha.79 或更高版本。如果升级会导致系统中断，可以考虑回滚到之前的稳定版本，但请注意，这只是一个临时解决方案。此外，可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求，阻止攻击者访问 /rustfs/rpc/readfilestream 端点。配置 WAF 规则以阻止包含 .. 或其他路径遍历模式的请求。在升级后，请验证修复是否有效，例如尝试访问一个受保护的文件，确认访问被拒绝。

修复方法翻译中…

Actualice RustFS a la versión 1.0.0-alpha.79 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. La actualización se puede realizar mediante el sistema de gestión de paquetes de Rust, Cargo.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-68705 — 路径遍历漏洞在 rustfs 中的表现？

CVE-2025-68705 是 rustfs 中的一个路径遍历漏洞，允许攻击者绕过安全检查，读取或写入任意文件。这是由于 /rustfs/rpc/readfilestream 端点缺乏充分的路径验证造成的。

我是否会受到 CVE-2025-68705 在 rustfs 中的影响？