文章总结： RustFSPostObject存在策略验证缺失漏洞CVE-2026-27607，CVSS评分9.1。由于服务端未校验Policy限制条件，攻击者可绕过授权上传任意文件或覆盖数据。受影响版本为1.0.0-alpha.56至82，官方已在alpha.83版本修复。建议受影响用户立即升级，同时采取最小权限原则、修改防火墙策略等通用安全措施以降低风险。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,云安全,应用安全

【漏洞通告】RustFS PostObject 策略验证缺失导致授权绕过漏洞(CVE-2026-27607)

启明星辰安全简讯

2026年2月26日 16:21 北京

一、漏洞概述

| | | | | | — | — | — | — | | 漏洞名称 | RustFS PostObject 策略验证缺失导致授权绕过漏洞 | | | | CVE ID | CVE-2026-27607 | | | | 漏洞类型 | 授权绕过 | 发现时间 | 2026-2-26 | | 漏洞评分 | 9.1 | 漏洞等级 | 严重 | | 攻击向量 | 网络 | 所需权限 | 低 | | 利用难度 | 低 | 用户交互 | 不需要 | | PoC/EXP | 未公开 | 在野利用 | 未发现 |

RustFS是一款基于Rust语言开发的分布式对象存储系统，采用高性能、内存安全的设计理念，支持S3兼容接口与集群化部署，适用于云存储、数据湖及大规模非结构化数据场景。该项目强调高可用、可扩展与高并发处理能力，常用于构建自有对象存储基础设施。

2026年2月26日，启明星辰安全应急响应中心（VSRC）监测到RustFS PostObject 策略验证缺失导致授权绕过漏洞，该漏洞源于服务端未对签名策略（Policy）中的关键限制条件进行有效解析与验证，包括content-length-range、starts-with以及Content-Type等约束，导致攻击者可绕过既定上传策略。利用该缺陷，攻击者可上传超出限制大小的文件、将对象写入任意Key路径，或伪造文件类型，从而引发存储资源耗尽、越权数据覆盖及潜在的跨站脚本风险。

二、影响范围

1.0.0-alpha.56 <= RustFS <= 1.0.0-alpha.82

三、安全措施

3.1 升级版本

官方已发布修复补丁，以修复该漏洞。

RustFS >= 1.0.0-alpha.83

下载链接：

https://github.com/rustfs/rustfs/tags/

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://github.com/rustfs/rustfs/security/advisories/GHSA-w5fh-f8xh-5x3p/

https://nvd.nist.gov/vuln/detail/CVE-2026-27607/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：启明星辰安全简讯 《【漏洞通告】RustFS PostObject 策略验证缺失导致授权绕过漏洞(CVE-2026-27607)》