关键漏洞信息 CVE ID: CVE-2026-22782 Severity: Low Affected Versions: >= 1.0.0-alpha.1, <= 1.0.0-alpha.79 Patched Versions: 1.0.0-alpha.80 漏洞描述 Summary 无效的 RPC 签名会导致服务器记录共享的 HMAC 密钥(和预期签名),从而暴露出密钥并允许伪造 RPC 调用。 Details 在文件 中,无效签名的分支记录了敏感数据: 此日志行包括 和 ,两者均来自共享的 HMAC 密钥。任何无效签名的请求都会触发此路径。该函数可被 RPC 和管理员请求处理程序调用。 Proof of Concept (PoC) 1. 启用错误日志记录运行 RustFS。 2. 发送一个带有无效签名的请求: 3. 观察到的输出: 影响 暴露了共享的 RPC HMAC 密钥到日志读者。 允许具有日志访问权限的攻击者伪造有效的 RPC 签名并发出未经授权的 RPC 调用。