CVE-2026-45043
CriticalCVSS 9.3Exploitation Probability (EPSS)
Low risk13th percentile — higher than 13% of all known CVEs
Summary
RustFS to rozproszony system przechowywania obiektów zbudowany w Rust. Przed wersją 1.0.0-beta.2, niewłaściwa walidacja w punkcie końcowym PUT /rustfs/admin/v3/import-iam pozwalała użytkownikowi z uprawnieniami ImportIAMAction na tworzenie kont serwisowych pod dowolnymi tożsamościami nadrzędnymi, w tym użytkownikiem root (minioadmin).
Risk Assessment
Ta podatność umożliwia eskalację uprawnień do pełnego dostępu administracyjnego przy użyciu trwałych, zdefiniowanych przez atakującego poświadczeń, co stanowi poważne zagrożenie dla bezpieczeństwa systemu.
Recommendation
Zaleca się aktualizację do wersji 1.0.0-beta.2 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji i sanitizacji danych wejściowych.
Original NVD description (English source)
RustFS is a distributed object storage system built in Rust. Prior to 1.0.0-beta.2, improper validation in the PUT /rustfs/admin/v3/import-iam endpoint allows a user with ImportIAMAction to create service accounts under arbitrary parent identities, including the root user (minioadmin). The endpoint accepts attacker-controlled parent, claims, accessKey, and secretKey values without enforcing privilege boundaries or sanitization. This enables privilege escalation to full administrative access using a persistent, attacker-defined credential. This vulnerability is fixed in 1.0.0-beta.2.

