الثغرات ›

CVE-2026-22042

مرتفع ⚡ اختراق متاح

ثغرة تجاوز التحقق من صلاحيات IAM في RustFS تتيح تصعيد الامتيازات

CWE-285 — نوع الضعف

                    نُشر: Jan 8, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

RustFS is a distributed object storage system built in Rust. Prior to version 1.0.0-alpha.79, he `ImportIam` admin API validates permissions using `ExportIAMAction` instead of `ImportIAMAction`, allowing a principal with export-only IAM permissions to perform import operations. Since importing IAM data performs privileged write actions (creating/updating users, groups, policies, and service accounts), this can lead to unauthorized IAM modification and privilege escalation. Version 1.0.0-alpha.79 fixes the issue.

🤖 ملخص AI

RustFS distributed object storage system versions prior to 1.0.0-alpha.79 contain a critical permission validation flaw in the ImportIam admin API. The vulnerability incorrectly validates permissions using ExportIAMAction instead of ImportIAMAction, allowing principals with export-only permissions to perform unauthorized IAM import operations including creating/updating users, groups, policies, and service accounts, leading to privilege escalation.

📄 الوصف (العربية)

تؤثر هذه الثغرة الأمنية على نظام RustFS للتخزين الموزع حيث تحتوي واجهة ImportIam الإدارية على خلل في منطق التحقق من الصلاحيات. يستخدم النظام بشكل خاطئ صلاحية ExportIAMAction للتحقق من عمليات الاستيراد بدلاً من ImportIAMAction الصحيحة. يمكن للمهاجم الذي يمتلك صلاحيات تصدير IAM فقط استغلال هذا الخلل لتنفيذ عمليات استيراد غير مصرح بها، مما يتيح له إنشاء أو تعديل المستخدمين والمجموعات والسياسات وحسابات الخدمة. يؤدي هذا إلى تصعيد الامتيازات والسيطرة الكاملة على نظام إدارة الهوية والوصول، مع وجود استغلال نشط للثغرة.

🤖 ملخص تنفيذي (AI)

يحتوي نظام التخزين الموزع RustFS في الإصدارات السابقة لـ 1.0.0-alpha.79 على ثغرة حرجة في التحقق من الصلاحيات في واجهة ImportIam الإدارية. تقوم الثغرة بالتحقق من الصلاحيات بشكل خاطئ باستخدام ExportIAMAction بدلاً من ImportIAMAction، مما يسمح للمستخدمين الذين لديهم صلاحيات التصدير فقط بتنفيذ عمليات استيراد IAM غير مصرح بها بما في ذلك إنشاء وتحديث المستخدمين والمجموعات والسياسات وحسابات الخدمة، مما يؤدي إلى تصعيد الامتيازات.

🤖 التحليل الذكي آخر تحليل: Feb 28, 2026 07:58

🇸🇦 التأثير على المملكة العربية السعودية

Saudi organizations using RustFS for distributed object storage face critical risk of unauthorized IAM modifications and privilege escalation. Attackers with limited export permissions can gain full administrative control over identity and access management systems, potentially compromising sensitive data stored in cloud infrastructure and violating PDPL data protection requirements.

🏢 القطاعات السعودية المتأثرة

الخدمات المالية والمصرفية الخدمات السحابية ومراكز البيانات الاتصالات وتقنية المعلومات الجهات الحكومية الرعاية الصحية

🎯 تقنيات MITRE ATT&CK

T1078 T1098 T1548 T1134 T1484

⚖️ درجة المخاطر السعودية (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately upgrade all RustFS instances to version 1.0.0-alpha.79 or later which contains the permission validation fix

2. Conduct comprehensive audit of all IAM operations performed in the past 90 days to identify any unauthorized import activities and review all user accounts, groups, policies, and service accounts for unauthorized modifications

3. Implement principle of least privilege by reviewing and restricting IAM export permissions, enable detailed logging for all IAM operations, and establish continuous monitoring with alerts for suspicious IAM import activities

🔧 خطوات المعالجة (العربية)

1. الترقية الفورية لجميع نسخ RustFS إلى الإصدار 1.0.0-alpha.79 أو أحدث الذي يحتوي على إصلاح التحقق من الصلاحيات

2. إجراء مراجعة شاملة لجميع عمليات IAM المنفذة خلال الـ 90 يوماً الماضية لتحديد أي أنشطة استيراد غير مصرح بها ومراجعة جميع حسابات المستخدمين والمجموعات والسياسات وحسابات الخدمة للكشف عن التعديلات غير المصرح بها

3. تطبيق مبدأ الحد الأدنى من الصلاحيات من خلال مراجعة وتقييد صلاحيات تصدير IAM، وتفعيل التسجيل التفصيلي لجميع عمليات IAM، وإنشاء مراقبة مستمرة مع تنبيهات لأنشطة استيراد IAM المشبوهة

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC-1-2 ECC-2-1 ECC-3-1 ECC-5-1 ECC-5-2

🔵 SAMA CSF

CCC-1.1.1 CCC-1.1.2 CCC-2.1.1 CCC-3.1.1 CCC-4.1.1

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.1 A.12.6.1 A.18.1.3

🔗 المراجع والمصادر 2

🔗

https://github.com/rustfs/rustfs/security/advisories/GHSA-vcwh-pff9-64cc

security-advisories@github.com

Exploit Vendor Advisory

🔗

https://github.com/rustfs/rustfs/security/advisories/GHSA-vcwh-pff9-64cc

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Vendor Advisory

📦 المنتجات المتأثرة 50 منتج

rustfs:rustfs:1.0.0

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-285

EPSS0.04%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-08

المصدر nvd

المشاهدات 4

🇸🇦 درجة المخاطر السعودية

9.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

exploit-available CWE-285

🏢 توجيهات البائع

🔗 https://github.com/rustfs/rustfs/security/advisories... 🔗 https://github.com/rustfs/rustfs/security/advisories...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-22042

انضم إلى سيزو للاستشارات

عرّفنا بنفسك

تسجيل الدخول مطلوب