CVE-2025-68926

1 minute de lecture

Mis à jour : January 05, 2026

Problème de Sécurité dans RustFS : Token Statique et Authentification Compromise

Une faille de sécurité, identifiée sous le nom de CVE-2025-68926, impacte RustFS, un système de stockage d’objets distribué. Les versions antérieures à 1.0.0-alpha.77 utilisent un token statique et codé en dur, “rustfs rpc”, pour l’authentification gRPC. Ce token est visible publiquement dans le dépôt du code source et est identique pour les clients et les serveurs.

Points Clés et Vulnérabilités :

Token Codé en Dur : Le token est intégré directement dans le code, le rendant non configurable et impossible à modifier.
Absence de Rotation : Il n’existe aucun mécanisme pour renouveler ou changer le token, le rendant ainsi perpétuellement valide.
Universalité : Le même token est utilisé pour toutes les installations de RustFS.
Exploitation : Un attaquant ayant un accès réseau au port gRPC peut exploiter ce token public pour s’authentifier.
Conséquences : L’authentification réussie permet des actions privilégiées, notamment la suppression de données, la modification de politiques de sécurité et des changements dans la configuration du cluster.

Recommandations :

Mise à Jour Immédiate : Les utilisateurs de RustFS doivent impérativement mettre à jour leur système vers la version 1.0.0-alpha.77 ou une version ultérieure pour corriger cette vulnérabilité.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-68926

Partager sur

Vous pourriez aimer

Spain arrests 34 suspects linked to Black Axe cyber crime

MuddyWater Launches RustyWater RAT via Spear-Phishing Across Middle East Sectors

RustyWater : Nouvelle menace d’espionnage iranien

Microsoft may soon allow IT admins to uninstall Copilot

Ireland recalls almost 13,000 passports over missing IRL code

Rappel de Passeports Irlandais En Raison d’une Erreur d’Impression