CVE-2026-49991
WysokieCVSS 8.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
W RustFS 1.0.0-beta.4 uwierzytelnieni użytkownicy z uprawnieniem PutObject na własnym zasobniku mogą wykorzystać podatność typu path traversal w funkcji automatycznego wyodrębniania Snowball do zapisywania dowolnych obiektów w zasobnikach innych użytkowników, całkowicie łamiąc izolację wielodostępową. Podatność łączy trzy błędy: brak sanityzacji ../ w normalizacji kluczy wpisów tar, dopasowywanie symboli wieloznacznych IAM na surowych (nieoczyszczonych) ścieżkach oraz czyszczenie ścieżek systemu plików rozwiązujące ../ poza granicami zasobników.
Ocena ryzyka
Organizacja narażona jest na naruszenie izolacji danych między użytkownikami, co może prowadzić do nieautoryzowanego dostępu do danych, ich modyfikacji lub kradzieży, a także do naruszenia zgodności z regulacjami dotyczącymi ochrony danych.
Rekomendacja
Należy natychmiast zaktualizować RustFS do wersji 1.0.0-beta.5 lub nowszej, która zawiera poprawkę usuwającą podatność. Jeśli aktualizacja nie jest możliwa, należy wyłączyć funkcję automatycznego wyodrębniania Snowball.
Oryginalny opis (angielski, źródło NVD)
RustFS is a distributed object storage system built in Rust. In 1.0.0-beta.4, authenticated users with only PutObject permission on their own bucket can exploit a path traversal vulnerability in the Snowball auto-extract feature to write arbitrary objects into other users' buckets, completely breaking multi-tenant isolation. The vulnerability chains three flaws: No ../ sanitization in tar entry key normalization; IAM wildcard matching uses raw (uncleaned) paths; and Filesystem path cleaning resolves ../ across bucket boundaries.

