【漏洞预警】MinIO 权限提升漏洞CVE-2024-24747

漏洞描述:
MinIO 是一个基于Apache License v2.0开源协议的对象存储服务,它兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等。

2024年1月31日,MinIO发布 RELEASE.2024-01-31T20-20-33Z版本，新版本中修复了一个权限提升漏洞,MinIO中存在一处权限提升漏洞，该漏洞主要是由于用户可以自己修改自己访问密钥的访问权限策略，这可能会导致低权限用户可以越权访问本无权访问的资源。

漏洞危害等级:高危

影响版本:

Minio<RELEASE.2024-01-31T20-20-33Z

修复建议:

正式防护方案:
目前官方已发布安全修复版本，受影响用户可以升级到安全版本:MinIO RELEASE.2024-01-31T20-20-33Z

下载链接:https://github.com/minio/minio/releases 

参考链接:

https://github.com/minio/minio/security/advisories/GHSA-xx8w-mq23-29g4

原文始发于微信公众号（飓风网络安全）：【漏洞预警】MinIO 权限提升漏洞CVE-2024-24747