В исходном коде открытого проекта RustFS (в рамках этого решения развивается совместимое с S3 распределённое объектное хранилище) экспертами выявлена критическая уязвимость (CVE-2025-68926). Проблема вызвана наличием жёстко прошитого в коде токена доступа, позволяющего подключиться к сетевому сервису по протоколу gRPC, указав в заголовке authorization значение rustfs rpc. Токен присутствовал в коде сервера и клиента. Проблеме присвоен критический уровень опасности (9.8 из 10).
Код проекта написан на языке Rust и опубликован на GitHub под лицензией Apache License 2.0. В настоящее время идёт подготовка к выпуску первой стабильной мажорной версии решения. Уязвимость CVE-2025-68926 устранена в выпуске RustFS 1.0.0-alpha.77.
По информации OpenNET, атакующий, имеющий доступ к сетевому порту gRPC, мог использовать указанный токен для выполнения привилегированных операций с хранилищем, среди которых удаление данных, манипуляции с учётными данными пользователей и изменение настроек кластера. По умолчанию RustFS принимает gRPC‑запросы на TCP‑порту 9000 на всех сетевых интерфейсах.
grpcurl -plaintext -H 'authorization: rustfs rpc' \
-d '{"access_key": "admin"}' \
localhost:9000 node_service.NodeService/LoadUser
grpcurl -plaintext -H 'authorization: rustfs rpc' \
-d '{"volume": "config", "path": "backdoor.sh", "buf": "..."}' \
localhost:9000 node_service.NodeService/WriteAll
