CRITICALCVE-2026-27822CVSS 9

Rust 存在预览模态中的 CRITICAL 存储型 XSS 漏洞，可能导致管理帐户接管

Q: 什么是 CVE-2026-27822 — XSS 漏洞在 RustFS Console 中？

CVE-2026-27822 描述了 RustFS Console 中的存储型跨站脚本攻击 (XSS) 漏洞，攻击者可以执行恶意 JavaScript 代码，窃取管理员凭据。

Q: 我是否受到 CVE-2026-27822 在 RustFS Console 中的影响？

如果您正在使用 RustFS Console 1.0.0-alpha.83 之前的版本，则可能受到此漏洞的影响。

Q: 我如何修复 CVE-2026-27822 在 RustFS Console 中的漏洞？

请立即升级到 RustFS Console 1.0.0-alpha.83 或更高版本。

Q: CVE-2026-27822 是否正在被积极利用？

目前尚无公开的漏洞利用程序，但由于漏洞的严重性，预计未来可能会出现。

Q: 在哪里可以找到 RustFS Console 官方关于 CVE-2026-27822 的公告？

请访问 RustFS 官方网站或安全公告页面，查找有关 CVE-2026-27822 的详细信息。

平台

rust

组件

rustfs

修复版本

1.0.1

1.0.0-alpha.83

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-27822 描述了 RustFS Console 中的存储型跨站脚本攻击 (XSS) 漏洞。该漏洞允许攻击者通过绕过 PDF 预览逻辑执行任意 JavaScript 代码，从而窃取敏感信息。受影响的版本包括 1.0.0-alpha.83 之前的版本。已发布安全补丁，建议用户尽快升级。

影响与攻击场景

该 XSS 漏洞的潜在影响非常严重。攻击者可以利用此漏洞执行恶意 JavaScript 代码，窃取存储在 localStorage 中的管理员凭据。一旦获取了管理员凭据，攻击者就可以完全接管 RustFS Console，并对系统进行未经授权的访问和操作。攻击者可以修改配置、窃取数据、甚至完全控制受影响的系统。由于漏洞利用相对简单，且管理员权限的获取可能导致广泛的破坏，因此该漏洞的风险极高。类似攻击模式可能导致数据泄露和业务中断。

利用背景

目前尚无公开的漏洞利用程序 (PoC)，但由于该漏洞的严重性和相对简单的利用方式，预计未来可能会出现。该漏洞已添加到 CISA KEV 目录，表明其具有较高的利用概率。建议密切关注安全社区的动态，并及时采取必要的安全措施。

哪些人处于风险中翻译中…

Organizations utilizing RustFS Console for file storage and management are at risk, particularly those relying on the console for administrative tasks. Environments with shared hosting configurations or legacy RustFS Console deployments are especially vulnerable due to potentially outdated security practices and unpatched systems.

检测步骤翻译中…

• rust: Examine RustFS Console logs for unusual file preview requests or JavaScript execution attempts. • generic web: Use curl to test file preview endpoints with specially crafted payloads designed to trigger XSS.

curl -X POST -d 'payload=<script>alert(1)</script>' <rustfs_console_preview_url>

• generic web: Review access and error logs for patterns indicative of XSS attempts, such as requests containing <script> tags or other suspicious characters. • generic web: Check response headers for unexpected content types or other anomalies that might indicate a successful XSS attack.

攻击时间线

2026-02-25Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告7 份威胁报告

EPSS

0.03% (10% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件rustfs

供应商osv

影响范围修复版本

< 1.0.0-alpha.83 – < 1.0.0-alpha.831.0.1

—1.0.0-alpha.83

弱点分类 (CWE)

CWE-79

时间线

已保留2026-02-24
发布日期2026-02-25
EPSS 更新日期2026-03-23

缓解措施和替代方案

为了减轻 CVE-2026-27822 漏洞的风险，首要措施是立即升级到 RustFS Console 1.0.0-alpha.83 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：严格审查所有上传到 RustFS Console 的文件，特别是 PDF 文件，以防止恶意代码注入。实施严格的输入验证和输出编码，以防止 XSS 攻击。考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求。升级后，请验证系统是否已成功应用补丁，并检查日志中是否存在任何异常活动。

修复方法

将 RustFS 更新到 1.0.0-alpha.83 或更高版本。此版本修复了预览模态中的存储型 XSS 漏洞，从而避免了可能的管理帐户接管。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-27822 — XSS 漏洞在 RustFS Console 中？