Ddd

**Name of the Vulnerable Software and Affected Versions** MinIO versões RELEASE.2023-05-18T00-05-36Z até RELEASE.2026-04-11T03-20-12Z **Description** Existe um bypass de autenticação no caminho de código `STREAMING-UNSIGNED-PAYLOAD-TRAILER`. Um invasor que possua uma chave de acesso válida pode gravar objetos arbitrários em qualquer bucket sem a chave secreta ou uma assinatura criptográfica válida. O problema ocorre porque `PutObjectHandler` e `PutObjectPartHandler` utilizam `newUnsignedV4ChunkedReader` com um portão de verificação de assinatura que depende apenas do cabeçalho `Authorization`. Simultaneamente, `isPutActionAllowed` aceita credenciais do cabeçalho `Authorization` ou do parâmetro de consulta `X-Amz-Credential`. Ao omitir o cabeçalho `Authorization` e fornecer credenciais via string de consulta, o portão de assinatura é ignorado e a solicitação é processada usando as permissões da chave de acesso impersonada. Isso afeta caminhos de bucket padrão e de tabelas/warehouse, bem como uploads de múltiplas partes. **Recommendations** Atualizar para a versão MinIO AIStor RELEASE.2026-04-11T03-20-12Z ou posterior. Bloquear solicitações de trailer não assinado no balanceador de carga, rejeitando qualquer solicitação que contenha `X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER` na camada de proxy reverso ou WAF. Restringir as concessões de `s3:PutObject` a principais confiáveis para limitar as permissões de gravação (WRITE).

**Name of the Vulnerable Software and Affected Versions** MinIO versões RELEASE.2023-05-18T00-05-36Z até RELEASE.2026-04-11T03-20-12Z **Description** Existe um bypass de autenticação no manipulador de auto-extração Snowball `PutObjectExtractHandler`. Este problema permite que um usuário com uma chave de acesso válida escreva objetos arbitrários em qualquer bucket sem fornecer a chave secreta ou uma assinatura criptográfica válida. A falha ocorre porque o bloco `switch rAuthType` no manipulador não possui um caso para `authTypeStreamingUnsignedTrailer`, fazendo com que a execução ignore a verificação da assinatura. Um invasor pode explorar isso enviando uma requisição PUT com o cabeçalho `X-Amz-Content-Sha256` definido como `STREAMING-UNSIGNED-PAYLOAD-TRAILER`, o cabeçalho `X-Amz-Meta-Snowball-Auto-Extract` definido como `true` e um cabeçalho `Authorization` contendo uma chave de acesso válida com uma assinatura fabricada. **Recommendations** Atualizar para o MinIO AIStor RELEASE.2026-04-11T03-20-12Z ou posterior. Bloquear requisições de unsigned-trailer no balanceador de carga, rejeitando qualquer requisição que contenha `X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER` na camada de proxy reverso ou WAF. Restringir as permissões de `s3:PutObject` a principais confiáveis para limitar as permissões de escrita (WRITE).