CVE-2025-68705CVE-2025-68705是RustFS分布式对象存储系统中一个严重的路径遍历安全漏洞。RustFS是一个使用Rust语言构建的高性能分布式对象存储系统,广泛应用于云存储、大数据分析和企业级数据管理场景。该漏洞存在于/rustfs/rpc/read_file_stream端点,攻击者可以通过构造特殊的文件路径请求,利用路径遍历技术(如使用../等目录遍历字符)绕过安全限制,访问系统任意文件。由于该漏洞无需认证即可利用,且CVSS评分高达9.8(满分10分),属于紧急严重级别,对系统机密性、完整性和可用性均造成极高风险。攻击者可能利用此漏洞读取敏感配置文件、密钥、凭据或其他系统文件,进而实施进一步的攻击,如横向移动、权限提升或数据泄露。
该路径遍历漏洞源于RustFS在处理文件读取请求时,未对用户提供的文件路径进行充分的输入验证和路径规范化处理。具体来说,/rustfs/rpc/read_file_stream端点直接接受用户输入的路径参数,未能有效过滤掉包含目录遍历序列(如../、..\、%2e%2e/等)的恶意路径。当攻击者发送包含这些遍历序列的请求时,系统会错误地将请求路径解析到预期目录之外的位置,从而实现对任意系统文件的读取。攻击者通常利用此漏洞读取/etc/passwd、配置文件、SSH密钥、数据库连接信息等敏感文件。由于该端点设计用于流式读取大文件,攻击者可以分块获取目标文件的完整内容。此外,结合其他配置错误或漏洞,攻击者还可能利用读取的文件内容实现远程代码执行或横向移动。