CVE-2026-40937 in RustFSinfo

Zusammenfassung

von VulDB • 19.05.2026

RustFS ist ein in Rust entwickeltes, verteiltes Objektspeichersystem. Vor Version 1.0.0-alpha.94 verwenden alle vier Admin-API-Endpunkte für Benachrichtigungsziele in `rustfs/src/admin/handlers/event.rs` eine Hilfsfunktion `check_permissions`, die ausschließlich die Authentifizierung (Zugangsschlüssel + Sitzungstoken) überprüft, ohne eine Autorisierung für Admin-Aktionen über `validate_admin_request` durchzuführen. Jeder andere Admin-Handler im Codebase ruft korrekt `validate_admin_request` mit einer spezifischen `AdminAction` auf. Dies ist die einzige Datei mit Admin-Handlern, die die Autorisierung überspringt. Ein Nicht-Admin-Benutzer kann ein gemeinsam genutztes, vom Admin definiertes Benachrichtigungsziel nach Namen überschreiben, wodurch nachfolgende Bucket-Ereignisse an einen vom Angreifer kontrollierten Endpunkt gesendet werden. Dies ermöglicht die abnutzergesteuerte Ereignisabfangung und das Umgehen von Audit-Protokollen. Die Version 1.0.0-alpha.94 enthält einen Patch.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

15.04.2026

Veröffentlichung

23.04.2026

Moderieren

akzeptiert

Eintrag

VDB-359078

CPE

bereit

EPSS

0.00085

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40937
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40937
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40937/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!