Vulnerabilidad en rustfs (CVE-2026-27822)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/02/2026
Última modificación:
25/02/2026
Descripción
RustFS es un sistema de almacenamiento de objetos distribuido construido en Rust. Antes de la versión 1.0.0-alpha.83, una vulnerabilidad de cross-site scripting (XSS) almacenado en la Consola de RustFS permite a un atacante ejecutar JavaScript arbitrario en el contexto de la consola de gestión. Al eludir la lógica de previsualización de PDF, un atacante puede robar credenciales de administrador de 'localStorage', lo que lleva a una toma de control total de la cuenta y a un compromiso del sistema. La versión 1.0.0-alpha.83 corrige el problema.
Impacto
Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rustfs:rustfs:1.0.0:alpha1:*:*:*:rust:*:* | ||
| cpe:2.3:a:rustfs:rustfs:1.0.0:alpha10:*:*:*:rust:*:* | ||
| cpe:2.3:a:rustfs:rustfs:1.0.0:alpha11:*:*:*:rust:*:* | ||
| cpe:2.3:a:rustfs:rustfs:1.0.0:alpha12:*:*:*:rust:*:* | ||
| cpe:2.3:a:rustfs:rustfs:1.0.0:alpha13:*:*:*:rust:*:* | ||
| cpe:2.3:a:rustfs:rustfs:1.0.0:alpha14:*:*:*:rust:*:* | ||
| cpe:2.3:a:rustfs:rustfs:1.0.0:alpha15:*:*:*:rust:*:* | ||
| cpe:2.3:a:rustfs:rustfs:1.0.0:alpha16:*:*:*:rust:*:* | ||
| cpe:2.3:a:rustfs:rustfs:1.0.0:alpha17:*:*:*:rust:*:* | ||
| cpe:2.3:a:rustfs:rustfs:1.0.0:alpha18:*:*:*:rust:*:* | ||
| cpe:2.3:a:rustfs:rustfs:1.0.0:alpha19:*:*:*:rust:*:* | ||
| cpe:2.3:a:rustfs:rustfs:1.0.0:alpha2:*:*:*:rust:*:* | ||
| cpe:2.3:a:rustfs:rustfs:1.0.0:alpha20:*:*:*:rust:*:* | ||
| cpe:2.3:a:rustfs:rustfs:1.0.0:alpha21:*:*:*:rust:*:* | ||
| cpe:2.3:a:rustfs:rustfs:1.0.0:alpha22:*:*:*:rust:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página