Vulnerabilities ›

CVE-2026-22042

High ⚡ Exploit Available

RustFS IAM Permission Validation Bypass Enables Privilege Escalation

CWE-285 — Weakness Type

                    Published: Jan 8, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

RustFS is a distributed object storage system built in Rust. Prior to version 1.0.0-alpha.79, he `ImportIam` admin API validates permissions using `ExportIAMAction` instead of `ImportIAMAction`, allowing a principal with export-only IAM permissions to perform import operations. Since importing IAM data performs privileged write actions (creating/updating users, groups, policies, and service accounts), this can lead to unauthorized IAM modification and privilege escalation. Version 1.0.0-alpha.79 fixes the issue.

🤖 AI Executive Summary

RustFS prior to version 1.0.0-alpha.79 contains an authorization bypass vulnerability in the ImportIam admin API that validates using incorrect permissions, allowing export-only principals to perform privileged import operations. This enables unauthorized IAM modification, user creation, and privilege escalation in distributed storage systems.

📄 Description (Arabic)

تحتوي نسخ RustFS السابقة للإصدار 1.0.0-alpha.79 على خلل في التحقق من الأذونات حيث تتحقق واجهة برمجة تطبيقات ImportIam من ExportIAMAction بدلاً من ImportIAMAction. يسمح هذا الخلل لمبدأ يمتلك أذونات التصدير فقط بإجراء عمليات الاستيراد المميزة التي تنشئ أو تحدث المستخدمين والمجموعات والسياسات وحسابات الخدمة.

🤖 ملخص تنفيذي (AI)

RustFS قبل الإصدار 1.0.0-alpha.79 يحتوي على ثغرة تجاوز التفويض في واجهة برمجة تطبيقات ImportIam الإدارية التي تتحقق من الأذونات بشكل غير صحيح. يسمح هذا لمبادئ بأذونات التصدير فقط بإجراء عمليات الاستيراد المميزة وتعديل IAM غير المصرح به.

🤖 AI Intelligence Analysis Analyzed: May 1, 2026 06:48

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

banking telecom energy government healthcare

🎯 MITRE ATT&CK Techniques

T1078.001 T1098.001 T1548.002

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade RustFS to version 1.0.0-alpha.79 or later immediately. Review and audit all IAM import operations performed on affected systems. Verify that only authorized principals with proper ImportIAMAction permissions can perform import operations. Implement additional access controls and monitoring for IAM modification activities.

🔧 خطوات المعالجة (العربية)

قم بترقية RustFS إلى الإصدار 1.0.0-alpha.79 أو أحدث فوراً. راجع وتدقيق جميع عمليات استيراد IAM التي تم إجراؤها على الأنظمة المتأثرة. تحقق من أن المبادئ المصرح لها فقط بأذونات ImportIAMAction الصحيحة يمكنها إجراء عمليات الاستيراد. طبق ضوابط وصول إضافية ومراقبة لأنشطة تعديل IAM.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.6.1.2 A.9.1.1 A.9.2.1 A.9.2.5

🔗 References & Sources 2

🔗

https://github.com/rustfs/rustfs/security/advisories/GHSA-vcwh-pff9-64cc

security-advisories@github.com

Exploit Vendor Advisory

🔗

https://github.com/rustfs/rustfs/security/advisories/GHSA-vcwh-pff9-64cc

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Vendor Advisory

📦 Affected Products / CPE 50 entries

rustfs:rustfs:1.0.0

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-285

EPSS0.04%

Exploit ✓ Yes

Patch ✓ Yes

Published 2026-01-08

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

exploit-available CWE-285

🏢 Vendor Advisories

🔗 https://github.com/rustfs/rustfs/security/advisories... 🔗 https://github.com/rustfs/rustfs/security/advisories...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-22042

💬 Comments

Introduce Yourself

Sign In Required