Vulnerabilities ›

CVE-2026-22042

High ⚡ Exploit Available

RustFS IAM Permission Validation Bypass Enables Privilege Escalation

CWE-285 — Weakness Type

                    Published: Jan 8, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

RustFS is a distributed object storage system built in Rust. Prior to version 1.0.0-alpha.79, he `ImportIam` admin API validates permissions using `ExportIAMAction` instead of `ImportIAMAction`, allowing a principal with export-only IAM permissions to perform import operations. Since importing IAM data performs privileged write actions (creating/updating users, groups, policies, and service accounts), this can lead to unauthorized IAM modification and privilege escalation. Version 1.0.0-alpha.79 fixes the issue.

🤖 AI Executive Summary

RustFS distributed object storage system versions prior to 1.0.0-alpha.79 contain a critical permission validation flaw in the ImportIam admin API. The vulnerability incorrectly validates permissions using ExportIAMAction instead of ImportIAMAction, allowing principals with export-only permissions to perform unauthorized IAM import operations including creating/updating users, groups, policies, and service accounts, leading to privilege escalation.

📄 Description (Arabic)

تؤثر هذه الثغرة الأمنية على نظام RustFS للتخزين الموزع حيث تحتوي واجهة ImportIam الإدارية على خلل في منطق التحقق من الصلاحيات. يستخدم النظام بشكل خاطئ صلاحية ExportIAMAction للتحقق من عمليات الاستيراد بدلاً من ImportIAMAction الصحيحة. يمكن للمهاجم الذي يمتلك صلاحيات تصدير IAM فقط استغلال هذا الخلل لتنفيذ عمليات استيراد غير مصرح بها، مما يتيح له إنشاء أو تعديل المستخدمين والمجموعات والسياسات وحسابات الخدمة. يؤدي هذا إلى تصعيد الامتيازات والسيطرة الكاملة على نظام إدارة الهوية والوصول، مع وجود استغلال نشط للثغرة.

🤖 ملخص تنفيذي (AI)

يحتوي نظام التخزين الموزع RustFS في الإصدارات السابقة لـ 1.0.0-alpha.79 على ثغرة حرجة في التحقق من الصلاحيات في واجهة ImportIam الإدارية. تقوم الثغرة بالتحقق من الصلاحيات بشكل خاطئ باستخدام ExportIAMAction بدلاً من ImportIAMAction، مما يسمح للمستخدمين الذين لديهم صلاحيات التصدير فقط بتنفيذ عمليات استيراد IAM غير مصرح بها بما في ذلك إنشاء وتحديث المستخدمين والمجموعات والسياسات وحسابات الخدمة، مما يؤدي إلى تصعيد الامتيازات.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 07:58

🇸🇦 Saudi Arabia Impact Assessment

Saudi organizations using RustFS for distributed object storage face critical risk of unauthorized IAM modifications and privilege escalation. Attackers with limited export permissions can gain full administrative control over identity and access management systems, potentially compromising sensitive data stored in cloud infrastructure and violating PDPL data protection requirements.

🏢 Affected Saudi Sectors

الخدمات المالية والمصرفية الخدمات السحابية ومراكز البيانات الاتصالات وتقنية المعلومات الجهات الحكومية الرعاية الصحية

🎯 MITRE ATT&CK Techniques

T1078 T1098 T1548 T1134 T1484

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately upgrade all RustFS instances to version 1.0.0-alpha.79 or later which contains the permission validation fix

2. Conduct comprehensive audit of all IAM operations performed in the past 90 days to identify any unauthorized import activities and review all user accounts, groups, policies, and service accounts for unauthorized modifications

3. Implement principle of least privilege by reviewing and restricting IAM export permissions, enable detailed logging for all IAM operations, and establish continuous monitoring with alerts for suspicious IAM import activities

🔧 خطوات المعالجة (العربية)

1. الترقية الفورية لجميع نسخ RustFS إلى الإصدار 1.0.0-alpha.79 أو أحدث الذي يحتوي على إصلاح التحقق من الصلاحيات

2. إجراء مراجعة شاملة لجميع عمليات IAM المنفذة خلال الـ 90 يوماً الماضية لتحديد أي أنشطة استيراد غير مصرح بها ومراجعة جميع حسابات المستخدمين والمجموعات والسياسات وحسابات الخدمة للكشف عن التعديلات غير المصرح بها

3. تطبيق مبدأ الحد الأدنى من الصلاحيات من خلال مراجعة وتقييد صلاحيات تصدير IAM، وتفعيل التسجيل التفصيلي لجميع عمليات IAM، وإنشاء مراقبة مستمرة مع تنبيهات لأنشطة استيراد IAM المشبوهة

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-2 ECC-2-1 ECC-3-1 ECC-5-1 ECC-5-2

🔵 SAMA CSF

CCC-1.1.1 CCC-1.1.2 CCC-2.1.1 CCC-3.1.1 CCC-4.1.1

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.1 A.12.6.1 A.18.1.3

🔗 References & Sources 2

🔗

https://github.com/rustfs/rustfs/security/advisories/GHSA-vcwh-pff9-64cc

security-advisories@github.com

Exploit Vendor Advisory

🔗

https://github.com/rustfs/rustfs/security/advisories/GHSA-vcwh-pff9-64cc

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Vendor Advisory

📦 Affected Products / CPE 50 entries

rustfs:rustfs:1.0.0

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-285

EPSS0.04%

Exploit ✓ Yes

Patch ✓ Yes

Published 2026-01-08

Source Feed nvd

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

exploit-available CWE-285

🏢 Vendor Advisories

🔗 https://github.com/rustfs/rustfs/security/advisories... 🔗 https://github.com/rustfs/rustfs/security/advisories...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-22042

Introduce Yourself

Sign In Required