分散ストレージ「RustFS」に認証回避の深刻な脆弱性

分散オブジェクトストレージシステム「RustFS」に脆弱性が明らかとなった。脆弱性を修正したアップデートが提供されている。

「gRPC」を用いた通信における認証トークンの管理に不備があり、認証バイパスが可能となる脆弱性「CVE-2025-68926」が判明したもの。

ソースコード内に認証用の静的トークンである「rustfs rpc」がハードコードされており、設定ファイルで変更する機能なども用意されていなかった。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

開発チームでは、2025年12月30日に「同1.0.0-alpha.78」をリリースし、トークン処理を修正した。

（Security NEXT - 2026/01/06 ） ツイート

PR

関連記事

「Cisco IMC」に複数の脆弱性 - 管理者権限を奪われるおそれも
「BIND 9」に複数の脆弱性 - アップデートが公開
「Harbor」に脆弱性、初期PW未変更で不正アクセスのおそれ
HPE Aruba製スイッチ向けOSに認証回避など複数の脆弱性
「AdGuard Home」に深刻な脆弱性 - 修正版が公開
「WordPress 6.9.2」が公開 - 複数の脆弱性を解消
MS、3月の月例パッチを公開 - 脆弱性79件に対処
「Parse Server」に認証回避の脆弱性 - 別アプリのトークンでログイン可能に
米当局、悪用カタログに既知脆弱性5件を登録 - AppleやRockwellなど
「EC-CUBE」に多要素認証を回避される脆弱性 - 修正パッチを公開