В открытом проекте RustFS нашли встроенный токен доступа

Эксперты в области информационной безопасности выявили серьёзную уязвимость в коде проекта RustFS — распределённого объектного хранилища, совместимого с S3. В исходном коде, который открыт и доступен на GitHub под лицензией Apache License 2.0, обнаружен жестко зашитый токен доступа, использующийся для аутентификации в сетевом сервисе через протокол gRPC.

Токен, представляющий собой строку «rustfs rpc» и прописанный непосредственно в коде сервера и клиента, позволял злоумышленнику подключаться к сервису и выполнятьопасные операции без дополнительной авторизации. Среди потенциальных угроз — удаление данных, вмешательство в учётные записи пользователей и изменение конфигурации кластера.

По умолчанию RustFS принимает gRPC-запросы на порту TCP 9000 на всех сетевых интерфейсах, что расширяло возможности для атакующего, имеющего сетевой доступ к этому порту. Инструменты командной строки, такие как grpcurl, могли использоваться с упомянутым токеном для выполнения привилегированных команд.

Уязвимость получила идентификатор CVE-2025-68926 и оценена как критичная (9.8 из 10 по шкале CVSS). Уже выпущенная версия RustFS 1.0.0-alpha.77 содержит исправление, устраняющее проблему. Разработчики ведут подготовку к выпуску первой стабильной мажорной версии проекта.

Данная находка подчёркивает важность тщательного аудита открытого программного обеспечения, особенно при подготовке к выпуску крупных релизов, а также необходимость избегать использования фиксированных секретов в исходном коде. Несмотря на открытость проекта и открытую публикацию кода, такие уязвимости могут представлять серьёзную угрозу для безопасности данных и инфраструктуры пользователей.