RustFS has a gRPC Hardcoded Token Authentication Bypass 漏洞信息(CVE-2025-68926)

一、漏洞 CVE-2025-68926 基础信息

漏洞信息

                                        # RustFS gRPC令牌认证绕过漏洞

## 概述
RustFS 在 gRPC 认证中使用硬编码的静态令牌 `"rustfs rpc"`，该令牌在源码中公开且无法配置或轮换，导致认证机制失效。

## 影响版本
1.0.0-alpha.78 之前的所有版本。

## 细节
- 认证令牌 `"rustfs rpc"` 在客户端和服务器端均被硬编码。
- 该令牌存在于公共源代码仓库中，对外完全公开。
- 无配置选项允许更改令牌，且不支持令牌轮换。
- 所有 RustFS 部署使用相同的认证凭据。

## 影响
攻击者若能访问 gRPC 端口，可利用该令牌进行认证，执行高危操作，包括：
- 删除数据
- 修改安全策略
- 更改集群配置

神龙判断

是否为 Web 类漏洞： 未知

判断理由：

N/A

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

RustFS has a gRPC Hardcoded Token Authentication Bypass

来源：美国国家漏洞数据库 NVD

漏洞描述信息

RustFS is a distributed object storage system built in Rust. In versions prior to 1.0.0-alpha.78, RustFS implements gRPC authentication using a hardcoded static token `"rustfs rpc"` that is publicly exposed in the source code repository, hardcoded on both client and server sides, non-configurable with no mechanism for token rotation, and universally valid across all RustFS deployments. Any attacker with network access to the gRPC port can authenticate using this publicly known token and execute privileged operations including data destruction, policy manipulation, and cluster configuration changes. Version 1.0.0-alpha.78 contains a fix for the issue.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

使用硬编码的凭证

来源：美国国家漏洞数据库 NVD

漏洞标题

rustfs 信任管理问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

rustfs是RustFS开源的一个高性能对象存储系统。 rustfs 1.0.0-alpha.77之前版本存在信任管理问题漏洞，该漏洞源于使用硬编码静态令牌进行gRPC身份验证，可能导致数据破坏、策略操纵和集群配置更改等特权操作。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

信任管理问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-68926 的公开POC

#	POC 描述	源链接	神龙链接
1	RustFS before 1.0.0-alpha.77 used a hardcoded gRPC authentication token "rustfs rpc" that could not be changed without recompiling and this allowed unauthenticated remote attackers to gain full administrative access to the gRPC API.	https://github.com/projectdiscovery/nuclei-templates/blob/main/code/cves/2025/CVE-2025-68926.yaml	POC详情
2	CVE-2025-68926 - RustFS Hardcoded gRPC Authentication Token Exploit	https://github.com/Chocapikk/CVE-2025-68926	POC详情
3	CVE-2025-68926 POC	https://github.com/Arcueld/CVE-2025-68926	POC详情

三、漏洞 CVE-2025-68926 的情报信息

四、漏洞 CVE-2025-68926 的评论

匿名用户

2026-01-15 06:08:48

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2025-68926 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-68926 的公开POC

三、漏洞 CVE-2025-68926 的情报信息

四、漏洞 CVE-2025-68926 的评论

匿名用户

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2025-68926 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-68926 的公开POC

三、漏洞 CVE-2025-68926 的情报信息

四、漏洞 CVE-2025-68926 的评论

匿名用户

发表评论

一、漏洞 CVE-2025-68926 基础信息