Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

分散ストレージ「RustFS」に認証回避の深刻な脆弱性

分散オブジェクトストレージシステム「RustFS」に脆弱性が明らかとなった。脆弱性を修正したアップデートが提供されている。

「gRPC」を用いた通信における認証トークンの管理に不備があり、認証バイパスが可能となる脆弱性「CVE-2025-68926」が判明したもの。

ソースコード内に認証用の静的トークンである「rustfs rpc」がハードコードされており、設定ファイルで変更する機能なども用意されていなかった。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。

開発チームでは、2025年12月30日に「同1.0.0-alpha.78」をリリースし、トークン処理を修正した。

お詫びと訂正:本記事初出時の記載において、修正バージョンに誤りがありました。ご迷惑をおかけした読者、関係者のみなさまにお詫びし、訂正いたします。

(Security NEXT - 2026/01/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

「MOVEit Transfer」に複数脆弱性 - 最新版へ更新を
「JetBrains」の複数製品に脆弱性 - 「クリティカル」など修正
「ColdFusion」や「Langflow」の脆弱性悪用に注意喚起 - 米当局
「FortiOS」のLDAP認証バイパス脆弱性、仮想パッチが公開
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
ウェブメール「Roundcube」、アップデートで複数脆弱性を修正
「PHP」にセキュリティ更新 - 複数の脆弱性を修正
「Apache Tomcat」に複数脆弱性 - 「クリティカル」との評価も
サポートツール「SimpleHelp」の脆弱性悪用を確認 - 米当局が注意喚起
DB管理ツール「pgAdmin 4」に脆弱性 - 3件が「クリティカル」