关键漏洞信息 漏洞概述 漏洞名称: SourceIp bypass via spoofed X-Forwarded-For/Real-IP headers 漏洞ID: GHSA-fc6g-2gcp-2qrr CVE ID: CVE-2026-21862 严重性: Moderate weaknesses: CWE-290 漏洞细节 漏洞代码位置: rustfs/src/auth.rs:289-304 问题描述: 漏洞代码从 或 头获取 ,并在没有验证可信代理或信任边界的情况下设置 。这允许任何可到达的客户端通过伪造 来绕过IP地址允许列表策略。 影响路径: 受影响的代码在 文件中参与IAM/存储桶策略评估,任何伪造 的请求可以满足相关条件。 影响 漏洞类型: 通过Header伪造绕过IP允许列表的授权绕过漏洞。 受影响对象: 任何依赖 来限制S3操作访问权限的RustFS部署。攻击者可以通过伪造IP头来绕过IP限制,进行list、read、write等操作。 修复版本 受影响版本: 已修复版本: Proof of Concept (PoC) PoC链接: rustfs-auth-trusted-ip-header-spoofing-poc.tar.gz 步骤: 1. 使用两个本地卷启动RustFS。 2. 运行PoC脚本进行测试,验证不同伪造IP头请求的响应。 致谢 发现者: SecMate > SecMate (https://secmate.dev) 使用自动化分析并经人工验证确认了此漏洞。