文章总结： RustFS在1.0.0-alpha.77之前的版本存在高危漏洞CVE-2025-68926，因gRPC认证使用硬编码令牌导致身份认证绕过。攻击者利用该令牌可获取管理员权限执行数据删除等高危操作。建议立即升级至1.0.0-alpha.78版本，若无法升级应限制网络访问并启用动态认证机制。 综合评分： 87 文章分类： 漏洞预警,漏洞分析,解决方案

【高危漏洞预警】RustFS gRPC身份认证绕过漏洞CVE-2025-68926

cexlife

飓风网络安全

2025年12月31日 23:18 北京

漏洞描述:

RuѕtFS是一个用Ruѕt语言编写的分布式对象存储系统,它在1.0.0-аlрhа.77之前的版本中,ɡRPC认证使用了硬编码的静态令牌’ruѕtfѕ rрс’,该令牌在源代码库中公开客户端和服务器端均为硬编码,不可配置且没有令牌轮换机制对所有RuѕtFS部署均有效

攻击场景:

攻击者可通过网络直接访问RustFS的gRPC 端口,使用硬编码的静态令牌”rustfs rpc”进行认证,无需任何额外凭证即可获得管理员权限进而执行数据删除、策略修改、集群配置篡改等高危操作

影响产品:

RustFS < 1.0.0-alpha.77

修复建议:

补丁名称:

RuѕtFS ɡRPC身份认证绕过漏洞的补丁-更新至最新版本1.0.0-аlрhа78

文件链接:

https://github.com/rustfs/rustfs/releases/tag/1.0.0-alpha.78

建议措施:

立即升级：将所有 RustFS 实例升级至 1.0.0-alpha.78 或更高版本，该版本已修复硬编码令牌问题

网络隔离：若无法立即升级，应通过防火墙策略限制 gRPC 端口仅对可信 IP 段开放，避免公网暴露

身份认证加固：启用基于证书或 OAuth 等动态认证机制，避免依赖静态令牌

资产清查：使用 CPE 检测工具或主动扫描，识别内部网络中是否存在旧版本 RustFS实例

日志监控：对 gRPC 接口的访问日志进行重点监控，检测异常认证行为（如来自非预期IP的登录尝试）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 cexlife《【高危漏洞预警】RustFS gRPC身份认证绕过漏洞CVE-2025-68926》