CVE-2026-55838
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
W RustFS w wersji 1.0.0-beta.7 i wcześniejszych, endpoint metryk czasu rzeczywistego /rustfs/admin/v3/metrics jest dostępny dla każdego prawidłowego użytkownika IAM, niezależnie od przypisanej mu polityki. Pominięto wywołanie funkcji validate_admin_request, co pozwala ograniczonym użytkownikom na odczyt wrażliwych danych operacyjnych całego klastra.
Ocena ryzyka
Nieautoryzowany dostęp do metryk systemowych może ujawnić informacje o wydajności i stanie klastra, co ułatwia ataki typu denial-of-service lub planowanie dalszych włamań.
Rekomendacja
Należy niezwłocznie zaktualizować RustFS do wersji nowszej niż 1.0.0-beta.7 lub zastosować tymczasowe reguły firewall/blokady dostępu do endpointu /rustfs/admin/v3/metrics dla nieuprawnionych użytkowników.
Oryginalny opis (angielski, źródło NVD)
RustFS is a distributed object storage system built in Rust. In 1.0.0-beta.7 and earlier, the real-time metrics endpoint at /rustfs/admin/v3/metrics is accessible to any valid IAM user regardless of their assigned policy. Every other admin handler in the codebase calls validate_admin_request to enforce admin-action IAM checks; the MetricsHandler skips this call entirely. A restricted IAM user whose policy grants only access to their own bucket can read server-wide operational metrics including disk I/O statistics, network throughput, scanner cycle timing, and cluster RPC state.

