漏洞速递！！！MinIO信息泄露漏洞（CVE-2023-28432）文末附poc

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！

昨天下午四点左右，爆出MinIo信息泄露漏洞，具体如下

首先我们了解一下MinIo

MinIO 是一种开源对象存储服务，与 Amazon S3 API 兼容，可用于私有云或公共云。MinIO是一种高性能、高可用的分布式存储系统，可以存储大量数据，并提供高速的数据读写能力。MinIO采用分布式架构，可以在多个节点上运行，实现数据的分布式存储和处理。

其实就是个未授权访问

在集群部署中，MinIO返回所有环境变量，包括MinIO_SSECRET_KEY

以及MINIO_ROOT_PASSWORD，导致信息泄露。

poc

POST /minio/bootstrap/v1/verify HTTP/1.1

Goby红队版新增漏洞验证，使用Goby漏扫可以快速验证

链接

https://github.com/gobysec/CVE-2023-28432

比较骚的是，使用ChatGPT差点构造出来，太狠了....

福利阶段

为了方便师傅们交流学习，我特意创建了一个群聊。内部会分享一些脱敏的漏洞报告,渗透测试实战案例，更有若干大牛巨佬分享经验。后续还会提供一些福利包括送书，小礼物等等，欢迎各位师傅进群交流。(由于1群人数已达上限，现在开通2群)

由于LK的安全小密圈群聊人数已满200人，扫码进不了的师傅可以添加机器人secbot回复LK安全即可加入群聊

关于知识星球

在一些师傅的建议和帮助下也是开通了知识星球，在开通很短的时间里加入人数已经达到200+，星球内原创文章数量达到80+。目前星球主打SRC挖掘和渗透测试学习。后续也会加入代码审计，免杀，各类文档资料，各类IT网课等等。星球目前内容百分之九十以上为师傅们原创文章或思路，以及各大SRC平台的脱敏漏洞报告，真实渗透测试案例。星球目前的嘉宾有资深红队成员，某甲方安全团队成员，SRC高级白帽子等等。欢迎各位师傅们加入一起学习！！！

★

付费圈子

欢 迎 加 入 星 球 ！

原文始发于微信公众号（LK安全）：漏洞速递！！！MinIO信息泄露漏洞（CVE-2023-28432）文末附poc