一、漏洞详情

RustFS 是一个使用Rust语言开发的高性能、高安全性、高并发的对象存储系统。

近日，监测到官方修复RustFS gRPC 身份认证绕过漏洞(CVE-2025-68926)，该漏洞源于RustFS 的gRPC认证使用了硬编码的静态令牌'rustfs rpc'，该令牌在源代码库中公开，客户端和服务器端均为硬编码，不可配置且没有令牌轮换机制，对所有RustFS部署均有效。攻击者可以利用此公开的静态令牌进行身份验证，并执行包括数据销毁、策略操纵和集群配置更改在内的特权操作。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

RustFS < 1.0.0-alpha.77

三、修复建议

官方已发布安全补丁，请及时更新至最新版本：

RustFS >= 1.0.0-alpha.77