分散ストレージ「RustFS」に認証回避の深刻な脆弱性

分散オブジェクトストレージシステム「RustFS」に脆弱性が明らかとなった。脆弱性を修正したアップデートが提供されている。

「gRPC」を用いた通信における認証トークンの管理に不備があり、認証バイパスが可能となる脆弱性「CVE-2025-68926」が判明したもの。

ソースコード内に認証用の静的トークンである「rustfs rpc」がハードコードされており、設定ファイルで変更する機能なども用意されていなかった。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

開発チームでは、2025年12月30日に「同1.0.0-alpha.78」をリリースし、トークン処理を修正した。

（Security NEXT - 2026/01/06 ） ツイート

PR

関連記事

「Apache Tomcat」に複数脆弱性 - 1月の更新でいずれも修正済み
「TeamViewer」に脆弱性 - ローカル側の確認を回避可能
「SolarWinds WHD」など4製品の脆弱性悪用に注意喚起 - 米当局
「Apache Druid」に認証回避の深刻な脆弱性 - アップデート実施を
米当局、MS関連のゼロデイ脆弱性6件を悪用リストに追加
「Ivanti EPM」に複数脆弱性 - 過去公表脆弱性とあわせて解消
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
2月のMS月例パッチが公開 - ゼロデイ脆弱性6件含む55件に対処
Cisco、アドバイザリ5件を公開 - コラボアプリにDoSやRCE脆弱性
悪用リストに脆弱性4件登録 - サポートツールやPBXなど3製品