Vulnerabilities ›

CVE-2026-22782

High ⚡ Exploit Available

CWE-532 — Weakness Type

                    Published: Jan 16, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

RustFS is a distributed object storage system built in Rust. From >= 1.0.0-alpha.1 to 1.0.0-alpha.79, invalid RPC signatures cause the server to log the shared HMAC secret (and expected signature), which exposes the secret to log readers and enables forged RPC calls. In crates/ecstore/src/rpc/http_auth.rs, the invalid signature branch logs sensitive data. This log line includes secret and expected_signature, both derived from the shared HMAC key. Any invalidly signed request triggers this path. The function is reachable from RPC and admin request handlers. This vulnerability is fixed in 1.0.0-alpha.80.

🤖 AI Executive Summary

RustFS versions 1.0.0-alpha.1 through 1.0.0-alpha.79 expose shared HMAC secrets in server logs when processing invalid RPC signatures, enabling attackers with log access to forge authenticated RPC calls. The vulnerability exists in the HTTP authentication handler which logs sensitive cryptographic material during signature validation failures.

📄 Description (Arabic)

تعرض RustFS أسرار HMAC المشتركة في سجلات الخادم عند معالجة توقيعات RPC غير الصحيحة من الإصدارات 1.0.0-alpha.1 إلى 1.0.0-alpha.79. يمكن لأي شخص لديه إمكانية الوصول إلى السجلات استخراج المفاتيح السرية واستخدامها لتزوير استدعاءات RPC مصرح بها. تم إصلاح المشكلة في الإصدار 1.0.0-alpha.80.

🤖 ملخص تنفيذي (AI)

نظام RustFS الإصدارات من 1.0.0-alpha.1 إلى 1.0.0-alpha.79 يكشف أسرار HMAC المشتركة في سجلات الخادم عند معالجة توقيعات RPC غير الصحيحة، مما يسمح للمهاجمين الذين لديهم إمكانية الوصول إلى السجلات بتزوير استدعاءات RPC مصرح بها. يوجد الثغرة في معالج المصادقة HTTP الذي يسجل مواد تشفيرية حساسة أثناء فشل التحقق من التوقيع.

🤖 AI Intelligence Analysis Analyzed: May 3, 2026 20:57

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom energy government healthcare

🎯 MITRE ATT&CK Techniques

T1110 T1555 T1040

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade RustFS to version 1.0.0-alpha.80 or later immediately. Rotate all HMAC secrets and shared authentication keys used with affected versions. Review server logs from affected systems for exposure of sensitive authentication material and implement log encryption and access controls. Monitor for unauthorized RPC calls and implement request signing validation.

🔧 خطوات المعالجة (العربية)

قم بترقية RustFS إلى الإصدار 1.0.0-alpha.80 أو أحدث على الفور. قم بتدوير جميع أسرار HMAC ومفاتيح المصادقة المشتركة المستخدمة مع الإصدارات المتأثرة. راجع سجلات الخادم من الأنظمة المتأثرة للكشف عن تعريض مواد المصادقة الحساسة وتطبيق تشفير السجلات وضوابط الوصول. راقب استدعاءات RPC غير المصرح بها وطبق التحقق من توقيع الطلب.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.2.1 5.3.1

🔵 SAMA CSF

AC-2 AU-2 SC-7

🟡 ISO 27001:2022

A.9.2.1 A.10.1.1 A.12.4.1

🔗 References & Sources 3

🔗

https://github.com/rustfs/rustfs/blob/9e162b6e9ebb874cc1d06a7b33bc4a05786578aa/crates/e...

security-advisories@github.com

Patch

🔗

https://github.com/rustfs/rustfs/commit/6b2eebee1d07399ef02c0863bd515b4412a5a560

security-advisories@github.com

Patch

🔗

https://github.com/rustfs/rustfs/security/advisories/GHSA-333v-68xh-8mmq

security-advisories@github.com

Exploit Vendor Advisory

📦 Affected Products / CPE 50 entries

rustfs:rustfs:1.0.0

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-532

EPSS0.02%

Exploit ✓ Yes

Patch ✓ Yes

Published 2026-01-16

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

exploit-available patch-available CWE-532

🏢 Vendor Advisories

🔗 https://github.com/rustfs/rustfs/security/advisories...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-22782

💬 Comments

Introduce Yourself

Sign In Required