0x00 漏洞编号

• CVE-2024-24747

0x01 危险等级

• 高危
  

0x02 漏洞概述

MinIO是一个基于Apache License v2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口，非常适合于存储大容量非结构化的数据，例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等。

0x03 漏洞详情

CVE-2024-24747

漏洞类型：权限提升

影响：越权访问

简述：MinIO中存在一处权限提升漏洞，该漏洞主要是由于用户可以自己修改自己访问密钥的访问权限策略，这可能会导致低权限用户可以越权访问本无权访问的资源。

0x04 影响版本

• Minio < RELEASE.2024-01-31T20-20-33Z

0x05 POC

https://github.com/minio/minio/security/advisories/GHSA-xx8w-mq23-29g4

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://min.io/

原文始发于微信公众号（浅安安全）：漏洞预警 | MinIO权限提升漏洞