CVE-2026-45041
WysokieCVSS 8.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 - wyżej niż 15% wszystkich znanych CVE
Streszczenie
RustFS to rozproszony system przechowywania obiektów zbudowany w Rust. W wersjach przed 1.0.0-beta.2, w pliku crates/appauth/src/token.rs, znajduje się 2048-bitowy klucz prywatny RSA jako stała tekstowa o nazwie TEST_PRIVATE_KEY, który jest używany w produkcji do 'weryfikacji' tokenów licencyjnych.
Ocena ryzyka
Ponieważ klucz jest osadzony w każdym opublikowanym wydaniu źródłowym i binarnym, każdy, kto ma dostęp do repozytorium lub potrafi go wydobyć z binariów, może generować dowolne tokeny licencyjne, co całkowicie obala mechanizm egzekwowania licencji.
Rekomendacja
Zaleca się aktualizację do wersji 1.0.0-beta.2, aby usunąć tę podatność i zabezpieczyć mechanizm egzekwowania licencji.
Oryginalny opis (angielski, źródło NVD)
RustFS is a distributed object storage system built in Rust. Prior to 1.0.0-beta.2, crates/appauth/src/token.rs ships a 2048-bit RSA private key as a string constant named TEST_PRIVATE_KEY and uses it in production via parse_license() to "verify" license tokens. Because the key is embedded in every published source release and binary, anyone who can read the repository or extract it from the binary can mint arbitrary license tokens (any subject, any expiration). When the license Cargo feature is enabled, this defeats the entire license-enforcement mechanism. This vulnerability is fixed in 1.0.0-beta.2.

