Katalog CVE

CVE-2026-45043

KrytyczneCVSS 9.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

RustFS to rozproszony system przechowywania obiektów zbudowany w Rust. Przed wersją 1.0.0-beta.2, niewłaściwa walidacja w punkcie końcowym PUT /rustfs/admin/v3/import-iam pozwalała użytkownikowi z uprawnieniami ImportIAMAction na tworzenie kont serwisowych pod dowolnymi tożsamościami nadrzędnymi, w tym użytkownikiem root (minioadmin).

Ocena ryzyka

Ta podatność umożliwia eskalację uprawnień do pełnego dostępu administracyjnego przy użyciu trwałych, zdefiniowanych przez atakującego poświadczeń, co stanowi poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację do wersji 1.0.0-beta.2 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji i sanitizacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

RustFS is a distributed object storage system built in Rust. Prior to 1.0.0-beta.2, improper validation in the PUT /rustfs/admin/v3/import-iam endpoint allows a user with ImportIAMAction to create service accounts under arbitrary parent identities, including the root user (minioadmin). The endpoint accepts attacker-controlled parent, claims, accessKey, and secretKey values without enforcing privilege boundaries or sanitization. This enables privilege escalation to full administrative access using a persistent, attacker-defined credential. This vulnerability is fixed in 1.0.0-beta.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS