CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45041

HighCVSS 8.7
Published: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.24%

15th percentile - higher than 15% of all known CVEs

Summary

RustFS to rozproszony system przechowywania obiektów zbudowany w Rust. W wersjach przed 1.0.0-beta.2, w pliku crates/appauth/src/token.rs, znajduje się 2048-bitowy klucz prywatny RSA jako stała tekstowa o nazwie TEST_PRIVATE_KEY, który jest używany w produkcji do 'weryfikacji' tokenów licencyjnych.

Risk Assessment

Ponieważ klucz jest osadzony w każdym opublikowanym wydaniu źródłowym i binarnym, każdy, kto ma dostęp do repozytorium lub potrafi go wydobyć z binariów, może generować dowolne tokeny licencyjne, co całkowicie obala mechanizm egzekwowania licencji.

Recommendation

Zaleca się aktualizację do wersji 1.0.0-beta.2, aby usunąć tę podatność i zabezpieczyć mechanizm egzekwowania licencji.

Original NVD description (English source)

RustFS is a distributed object storage system built in Rust. Prior to 1.0.0-beta.2, crates/appauth/src/token.rs ships a 2048-bit RSA private key as a string constant named TEST_PRIVATE_KEY and uses it in production via parse_license() to "verify" license tokens. Because the key is embedded in every published source release and binary, anyone who can read the repository or extract it from the binary can mint arbitrary license tokens (any subject, any expiration). When the license Cargo feature is enabled, this defeats the entire license-enforcement mechanism. This vulnerability is fixed in 1.0.0-beta.2.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS