CVE-2026-40937 in RustFSinformación

Resumen

por VulDB • 2026-05-22

RustFS es un sistema de almacenamiento de objetos distribuido desarrollado en Rust. Antes de la versión 1.0.0-alpha.94, los cuatro puntos finales de la API de administración de objetivos de notificación en `rustfs/src/admin/handlers/event.rs` utilizan un auxiliar `check_permissions` que valida únicamente la autenticación (clave de acceso + token de sesión), sin realizar ninguna autorización de acción de administrador mediante `validate_admin_request`. Cada otro manejador de administración en la base de código llama correctamente a `validate_admin_request` con una `AdminAction` específica. Este es el único archivo de manejador de administración que omite la autorización. Un usuario no administrador puede sobrescribir un objetivo de notificación compartido definido por el administrador por nombre, lo que provoca que los eventos posteriores del cubo se entreguen a un punto final controlado por el atacante. Esto permite la interceptación de eventos entre usuarios y la evasión de auditoría. La versión 1.0.0-alpha.94 contiene un parche.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-15

Divulgación

2026-04-23

Moderación

aceptado

Artículo

VDB-359078

CPE

listo

EPSS

0.00085

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40937
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40937
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40937/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!