分散ストレージ「RustFS」に認証回避の深刻な脆弱性

分散オブジェクトストレージシステム「RustFS」に脆弱性が明らかとなった。脆弱性を修正したアップデートが提供されている。

「gRPC」を用いた通信における認証トークンの管理に不備があり、認証バイパスが可能となる脆弱性「CVE-2025-68926」が判明したもの。

ソースコード内に認証用の静的トークンである「rustfs rpc」がハードコードされており、設定ファイルで変更する機能なども用意されていなかった。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

開発チームでは、2025年12月30日に「同1.0.0-alpha.78」をリリースし、トークン処理を修正した。

（Security NEXT - 2026/01/06 ） ツイート

PR

関連記事

Fortinet「FortiOS」既知脆弱性の悪用を確認 - 認証回避のおそれ
Fortinet複数製品の認証回避脆弱性、悪用が発生 - 設定確認を
「Adobe Acrobat/Reader」に複数脆弱性 - アップデートを公開
「Adobe ColdFusion」に緊急性高い脆弱性 - 早急に対応を
複数Fortinet製品に認証回避の深刻な脆弱性 - 影響確認と対策を
Ruby向けSAML認証ライブラリに深刻な脆弱性 - 最新版へ更新を
「GitLab」に複数の脆弱性 - アップデートで修正
「Fluent Bit」に認証回避やRCEなど脆弱性 - アップデートで修正
ファイル転送サーバ「SolarWinds Serv-U」に脆弱性 - 「クリティカル」も複数
「Azure Bastion」「SharePoint Online」に深刻な脆弱性 - すでに修正済み