01 漏洞详情

影响组件

RustFS 是一个使用 Rust 语言开发的高性能、高安全性、高并发的对象存储系统，完全兼容 AWS S3 协议。它适用于 AI/ML、大数据、多云及边缘计算等场景，支持从100TB到EB级别的数据扩展，具备跨云容灾能力，二进制体积小于100MB，可部署于从 ARM 设备到大型数据中心的各种环境，并遵循 Apache 2.0 开源协议。

漏洞描述

近日，奇安信CERT监测到官方修复RustFS gRPC 身份认证绕过漏洞(CVE-2025-68926)，该漏洞源于 RustFS 的 gRPC 认证使用了硬编码的静态令牌”rustfs rpc”，该令牌在源代码库中公开，客户端和服务器端均为硬编码，不可配置且没有令牌轮换机制，对所有 RustFS 部署均有效。攻击者可以利用此公开的静态令牌进行身份验证，并执行包括数据销毁、策略操纵和集群配置更改在内的特权操作。目前该漏洞PoC和技术细节已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

02 影响范围

影响版本

RustFS < 1.0.0-alpha.77

其他受影响组件

无

03 复现情况

目前，奇安信威胁情报中心安全研究员已成功复现RustFS gRPC 身份认证绕过漏洞(CVE-2025-68926)，截图如下：

04 受影响资产情况

奇安信鹰图资产测绘平台数据显示，RustFS gRPC 身份认证绕过漏洞(CVE-2025-68926)关联的国内风险资产总数为18378个，关联IP总数为2442个。国内风险资产分布情况如下：

RustFS gRPC 身份认证绕过漏洞(CVE-2025-68926)关联的全球风险资产总数为19530个，关联IP总数为2925个。全球风险资产分布情况如下：

05 处置建议

安全更新

官方已发布安全补丁，请及时更新至最新版本：

RustFS >= 1.0.0-alpha.77

下载地址：

https://rustfs.com/download/

06 参考资料

[1]https://github.com/rustfs/rustfs/security/advisories/GHSA-h956-rh7x-ppgj

声明：本文来自奇安信 CERT，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。