CVE-2026-45041
HighCVSS 8.7Exploitation Probability (EPSS)
Low risk15th percentile - higher than 15% of all known CVEs
Summary
RustFS to rozproszony system przechowywania obiektów zbudowany w Rust. W wersjach przed 1.0.0-beta.2, w pliku crates/appauth/src/token.rs, znajduje się 2048-bitowy klucz prywatny RSA jako stała tekstowa o nazwie TEST_PRIVATE_KEY, który jest używany w produkcji do 'weryfikacji' tokenów licencyjnych.
Risk Assessment
Ponieważ klucz jest osadzony w każdym opublikowanym wydaniu źródłowym i binarnym, każdy, kto ma dostęp do repozytorium lub potrafi go wydobyć z binariów, może generować dowolne tokeny licencyjne, co całkowicie obala mechanizm egzekwowania licencji.
Recommendation
Zaleca się aktualizację do wersji 1.0.0-beta.2, aby usunąć tę podatność i zabezpieczyć mechanizm egzekwowania licencji.
Original NVD description (English source)
RustFS is a distributed object storage system built in Rust. Prior to 1.0.0-beta.2, crates/appauth/src/token.rs ships a 2048-bit RSA private key as a string constant named TEST_PRIVATE_KEY and uses it in production via parse_license() to "verify" license tokens. Because the key is embedded in every published source release and binary, anyone who can read the repository or extract it from the binary can mint arbitrary license tokens (any subject, any expiration). When the license Cargo feature is enabled, this defeats the entire license-enforcement mechanism. This vulnerability is fixed in 1.0.0-beta.2.

