漏洞描述:
MinIO 是一个基于Apache License v2.0开源协议的对象存储服务,它兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等。
2024年1月31日,MinIO发布 RELEASE.2024-01-31T20-20-33Z版本,新版本中修复了一个权限提升漏洞,MinIO中存在一处权限提升漏洞,该漏洞主要是由于用户可以自己修改自己访问密钥的访问权限策略,这可能会导致低权限用户可以越权访问本无权访问的资源。
漏洞危害等级:高危
影响版本:
Minio<RELEASE.2024-01-31T20-20-33Z
修复建议:
正式防护方案:
目前官方已发布安全修复版本,受影响用户可以升级到安全版本:MinIO RELEASE.2024-01-31T20-20-33Z
下载链接:https://github.com/minio/minio/releases
参考链接:
https://github.com/minio/minio/security/advisories/GHSA-xx8w-mq23-29g4
原文始发于微信公众号(飓风网络安全):【漏洞预警】MinIO 权限提升漏洞CVE-2024-24747
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论