【漏洞通告】RustFS gRPC 硬编码令牌导致认证绕过漏洞(CVE-2025-68926)
发布时间 2025-12-31一、漏洞概述
漏洞名称 | RustFS gRPC 硬编码令牌导致认证绕过漏洞 | ||
CVE ID | CVE-2025-68926 | ||
漏洞类型 | 硬编码凭据漏洞 | 发现时间 | 2025-12-31 |
漏洞评分 | 9.8 | 漏洞等级 | 严重 |
攻击向量 | 网络 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 不需要 |
PoC/EXP | 已公开 | 在野利用 | 未发现 |
RustFS是一款基于Rust语言开发的分布式对象存储系统,采用高性能、内存安全的设计理念,支持S3兼容接口与集群化部署,适用于云存储、数据湖及大规模非结构化数据场景。该项目强调高可用、可扩展与高并发处理能力,常用于构建自有对象存储基础设施。
2025年12月31日,启明星辰集团VSRC监测到RustFS在gRPC认证机制中存在的严重安全漏洞。受影响版本(alpha.76)在客户端与服务端均使用硬编码的静态认证令牌“rustfsrpc”进行gRPC身份校验,该令牌直接暴露于公开源码中,且无法配置、无法轮换,在所有部署实例中通用。攻击者一旦能够访问RustFS的gRPC服务端口,即可利用该已知令牌绕过身份认证,无需任何权限即可调用受保护的管理接口。成功利用后,攻击者可执行删除存储桶和卷、篡改访问控制策略、读取或修改任意数据、获取用户与服务账号信息以及干扰集群运行等高危操作,可能导致数据泄露、数据完整性破坏及服务不可用。
二、影响范围
三、安全措施
3.1 升级版本
下载链接:https://github.com/rustfs/rustfs/tags/
3.2 临时措施
暂无。
3.3 通用建议
• 启用强密码策略并设置为定期修改。
京公网安备11010802024551号