1-漏洞简介:
MinIO是根据 GNU Affero 通用公共许可证 v3.0 发布的高性能对象存储。它与Amazon S3云存储服务API 兼容。它可以处理非结构化数据,例如照片、视频、日志文件、备份和容器镜像。未经身份验证的攻击者向在集群部署中的MinIO发送特殊的HTTP请求即可获取到包括MINIO_SECRET_KEY以及MINIO_ROOT_PASSWORD在内的所有环境变量信息,从而造成信息泄露并且能够以管理员身份登录MinIO。
MiniO verify interface sensitive information disclosure vulnerability (CVE-2023-28432)
https://github.com/gobysec/CVE-2023-28432
2-漏洞分析:
MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)
https://blog.csdn.net/qq_35476650/article/details/129748849
Minio从信息泄露到RCE漏洞分析(CVE-2023-28432)
http://www.hackdig.com/03/hack-951978.htm
3-漏洞复现:
CVE-2023-28432 nuclei templates
https://github.com/Mr-xn/CVE-2023-28432
MinIO敏感信息泄露漏洞批量扫描poc&exp
https://github.com/MzzdToT/CVE-2023-28432
CVE-2023-28432漏洞复现
https://mp.weixin.qq.com/s/aJysJfDgH13ha7yRdAj25w
MinIO信息泄露漏洞(CVE-2023-28432)批量检测POC
https://blog.csdn.net/weixin_53009585/article/details/129819555
4-漏洞检测:
服务默认端口"9000";
版本检测的路径"GET /api/v1/check-version";
信息泄露的路径"POST /minio/bootstrap/v1/verify"
如果公司没有MinIO相关服务,基于这些路径,可以提取黑客扫描器恶意IP。
原文始发于微信公众号(xiaozhu佩奇学安全):MinIO 信息泄露漏洞(CVE-2023-28432)检测汇总
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论