CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-45043

CriticalCVSS 9.3
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.23%

13th percentile — higher than 13% of all known CVEs

Summary

RustFS to rozproszony system przechowywania obiektów zbudowany w Rust. Przed wersją 1.0.0-beta.2, niewłaściwa walidacja w punkcie końcowym PUT /rustfs/admin/v3/import-iam pozwalała użytkownikowi z uprawnieniami ImportIAMAction na tworzenie kont serwisowych pod dowolnymi tożsamościami nadrzędnymi, w tym użytkownikiem root (minioadmin).

Risk Assessment

Ta podatność umożliwia eskalację uprawnień do pełnego dostępu administracyjnego przy użyciu trwałych, zdefiniowanych przez atakującego poświadczeń, co stanowi poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację do wersji 1.0.0-beta.2 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji i sanitizacji danych wejściowych.

Original NVD description (English source)

RustFS is a distributed object storage system built in Rust. Prior to 1.0.0-beta.2, improper validation in the PUT /rustfs/admin/v3/import-iam endpoint allows a user with ImportIAMAction to create service accounts under arbitrary parent identities, including the root user (minioadmin). The endpoint accepts attacker-controlled parent, claims, accessKey, and secretKey values without enforcing privilege boundaries or sanitization. This enables privilege escalation to full administrative access using a persistent, attacker-defined credential. This vulnerability is fixed in 1.0.0-beta.2.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS