【漏洞通告】RustFS PostObject 策略验证缺失导致授权绕过漏洞(CVE-2026-27607)
发布时间 2026-02-26一、漏洞概述
漏洞名称 | RustFS PostObject 策略验证缺失导致授权绕过漏洞 | ||
CVE ID | CVE-2026-27607 | ||
漏洞类型 | 授权绕过 | 发现时间 | 2026-2-26 |
漏洞评分 | 9.1 | 漏洞等级 | 严重 |
攻击向量 | 网络 | 所需权限 | 低 |
利用难度 | 低 | 用户交互 | 不需要 |
PoC/EXP | 未公开 | 在野利用 | 未发现 |
RustFS是一款基于Rust语言开发的分布式对象存储系统,采用高性能、内存安全的设计理念,支持S3兼容接口与集群化部署,适用于云存储、数据湖及大规模非结构化数据场景。该项目强调高可用、可扩展与高并发处理能力,常用于构建自有对象存储基础设施。
2026年2月26日,启明星辰安全应急响应中心(VSRC)监测到RustFS PostObject 策略验证缺失导致授权绕过漏洞,该漏洞源于服务端未对签名策略(Policy)中的关键限制条件进行有效解析与验证,包括content-length-range、starts-with以及Content-Type等约束,导致攻击者可绕过既定上传策略。利用该缺陷,攻击者可上传超出限制大小的文件、将对象写入任意Key路径,或伪造文件类型,从而引发存储资源耗尽、越权数据覆盖及潜在的跨站脚本风险。
二、影响范围
1.0.0-alpha.56 <= RustFS <= 1.0.0-alpha.82
三、安全措施
3.1 升级版本
下载链接:https://github.com/rustfs/rustfs/tags/
3.2 临时措施
暂无。
京公网安备11010802024551号