Ich baue ja nebenbei einen S3-Client. Für diesen Client habe ich eine Testmatrix, die den Client gegen die gängigsten Implementierungen testet. Wegen der Sache bei MinIO ist da ein oft genannter Kandidat RustFS.
In der Testmatrix wurde etwas überprüft, das bei RustFS falsch implementiert wurde. Genauer gesagt: Post-Policys wurden nicht richtig validiert, weshalb ein Angreifer mit irgendeiner signierten Post-Policy jedes beliebige Objekt an jede beliebige Stelle schreiben konnte. Daraus kam CVE-2026-27607.
Hier ist ein Demo-Repo. Der CVSS-Score ist 8.1. Der Vektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H