В коде открытого проекта RustFS обнаружен предопределённый токен доступа

В исходном коде открытого проекта RustFS (в рамках этого решения развивается совместимое с S3 распределённое объектное хранилище) экспертами выявлена критическая уязвимость (CVE-2025-68926). Проблема вызвана наличием жёстко прошитого в коде токена доступа, позволяющего подключиться к сетевому сервису по протоколу gRPC, указав в заголовке authorization значение rustfs rpc. Токен присутствовал в коде сервера и клиента. Проблеме присвоен критический уровень опасности (9.8 из 10).

Код проекта написан на языке Rust и опубликован на GitHub под лицензией Apache License 2.0. В настоящее время идёт подготовка к выпуску первой стабильной мажорной версии решения. Уязвимость CVE-2025-68926 устранена в выпуске RustFS 1.0.0-alpha.77.

По информации OpenNET, атакующий, имеющий доступ к сетевому порту gRPC, мог использовать указанный токен для выполнения привилегированных операций с хранилищем, среди которых удаление данных, манипуляции с учётными данными пользователей и изменение настроек кластера. По умолчанию RustFS принимает gRPC‑запросы на TCP‑порту 9000 на всех сетевых интерфейсах.