漏洞预警 | MinIO信息泄露、权限提升漏洞

0x00 漏洞编号

• CVE-2023-28432

• CVE-2023-28434

0x01 危险等级

• 高危
  

0x02 漏洞概述

MinIO是基于Golang开发的一款高性能、分布式的开源对象存储系统。

0x03 漏洞详情

CVE-2023-28432

漏洞类型：信息泄露

影响：获取敏感信息

简述：MinIO版本RELEASE.2019-12-17T23-16-33Z到RELEASE.2023-03-20T20-16-18Z之前，MinIO在集群部署时，可在未经身份验证的情况下通过发送恶意请求导致MinIO接口返回所有环境变量信息，导致敏感信息泄露，攻击者可利用该漏洞实现未授权访问。

CVE-2023-28434

漏洞类型：权限提升

影响：越权操作

简述：MinIO版本RELEASE.2023-03-20T20-16-18Z之前，威胁者可以使用恶意设计的请求来绕过元数据存储桶名称检查，并在处理“PostPolicyBucket”时将对象放入任何存储桶中。

0x04 影响版本

• MinIO < RELEASE.2023-03-20T20-16-18Z

0x05 POC

https://github.com/AbelChe/evil_minio

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://minio.org.cn/

原文始发于微信公众号（浅安安全）：漏洞预警 | MinIO信息泄露、权限提升漏洞