关键漏洞信息 漏洞标题 Missing Post Policy Validation leads to Arbitrary Object Write 定位 CVE ID: CVE-2026-27607 GitHub Advisor: GHSA-w5fh-f8xh-5x3p 漏洞描述 RustFS 在预签名 POST 上传(PostObject)上不验证策略条件,允许攻击者绕过内容长度范围、以某字符串开始和 Content-Type 约束。这导致未经授权的文件上传,超出大小限制、上传任意对象键和 Content-Type 欺骗,可能影响存储耗尽、未经授权的数据访问和安全绕过。 漏洞细节 RustFS 在 PostObject 端点实现上存在漏洞,预签名策略条件没有被解析或验证。 漏洞影响 漏洞类型: 不正确的输入验证 / 权限绕过 (CWE-20, CWE-863) 受影响的应用: 使用 RustFS 作为 S3 兼容后端,依赖预签名 POST 策略条件进行访问控制或上传限制的应用。 攻击情景 1. 存储耗尽 / 服务拒绝: 上传任意大的文件导致磁盘 fills up 和服务宕机。 2. 非授权数据访问/修改: 上传文件到受控路径,例如覆盖配置文件。 3. Content-Type 欺骗: 绕过 Content-Type 限制,服务恶意内容,比如 HTML / JavaScript 文件,如果在只接受图片的情况下,可能导致 XSS 攻击。 漏洞严重性 严重等级高,允许完全绕过服务所强加的上传约束,破坏应用所依赖的安全模型。 CVSSv3 基础向量 严重度: High (8.1/10) 攻击向量: 网络 攻击复杂度: Low 所需权限: Low 用户交互: None 范围: 不变 机密性: None 完整性: High 可用性: High 修复版本 受影响: 1.0.0-alpha.56 至 1.0.0-alpha.82 修复: alpha.83