文章总结： RustFS分布式对象存储系统存在高危授权绕过漏洞CVE-2026-27607。因PostObject策略验证缺失，服务端未校验关键约束条件，攻击者可绕过上传策略执行越权操作，导致资源耗尽或数据覆盖。影响1.0.0-alpha.56至82版本，建议用户及时升级至官方安全版本。 综合评分： 83 文章分类： 漏洞预警,漏洞分析,应用安全,解决方案

漏洞预警 | RustFS授权绕过漏洞

浅安 浅安

浅安安全

2026年3月4日 08:01 广东

0x00 漏洞编号

• # CVE-2026-27607

0x01 危险等级

• 高危

0x02 漏洞概述

RustFS是一款基于Rust语言开发的分布式对象存储系统，采用高性能、内存安全的设计理念，支持S3兼容接口与集群化部署，适用于云存储、数据湖及大规模非结构化数据场景。

0x03 漏洞详情

#

CVE-2026-27607

漏洞类型：授权绕过

影响：越权操作

简述：RustFS的PostObject策略验证缺失导致授权绕过漏洞，由于其服务端未对签名策略中的关键限制条件进行有效解析与验证，包括content-length-range、starts-with以及Content-Type等约束，导致攻击者可绕过既定上传策略。利用该缺陷，攻击者可上传超出限制大小的文件、将对象写入任意Key路径，或伪造文件类型，从而引发存储资源耗尽、越权数据覆盖及潜在的跨站脚本风险。

0x04 影响版本

• 1.0.0-alpha.56 <= RustFS <= 1.0.0-alpha.82

0x05POC状态

• 未公开

0x06修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://rustfs.com/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：浅安安全 浅安 浅安《漏洞预警 | RustFS授权绕过漏洞》