分散ストレージ「RustFS」に認証回避の深刻な脆弱性
分散オブジェクトストレージシステム「RustFS」に脆弱性が明らかとなった。脆弱性を修正したアップデートが提供されている。
「gRPC」を用いた通信における認証トークンの管理に不備があり、認証バイパスが可能となる脆弱性「CVE-2025-68926」が判明したもの。
ソースコード内に認証用の静的トークンである「rustfs rpc」がハードコードされており、設定ファイルで変更する機能なども用意されていなかった。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
開発チームでは、2025年12月30日に「同1.0.0-alpha.78」をリリースし、トークン処理を修正した。
(Security NEXT - 2026/01/06 )
ツイート
関連リンク
PR
関連記事
「MOVEit Transfer」に複数脆弱性 - 最新版へ更新を
「JetBrains」の複数製品に脆弱性 - 「クリティカル」など修正
「ColdFusion」や「Langflow」の脆弱性悪用に注意喚起 - 米当局
「FortiOS」のLDAP認証バイパス脆弱性、仮想パッチが公開
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
ウェブメール「Roundcube」、アップデートで複数脆弱性を修正
「PHP」にセキュリティ更新 - 複数の脆弱性を修正
「Apache Tomcat」に複数脆弱性 - 「クリティカル」との評価も
サポートツール「SimpleHelp」の脆弱性悪用を確認 - 米当局が注意喚起
DB管理ツール「pgAdmin 4」に脆弱性 - 3件が「クリティカル」
