Donatello

**Nome do software vulnerável e versões afetadas** Versões do MinIO anteriores a RELEASE.2024-12-13T22-19-12Z **Descrição** O problema está relacionado a uma vulnerabilidade de escalonamento de privilégios na API de importação do IAM do MinIO, que é um armazenamento de objetos de alto desempenho compatível com S3. Essa vulnerabilidade permite que qualquer usuário obtenha privilégios administrativos completos. O problema é causado pela falta de verificação de permissões na API, permitindo que um usuário altere seu mapeamento de políticas. Todos os usuários são afetados desde o commit `580d9db85e04f1b63cc2909af50f0ed08afa965f` do MinIO. **Recomendações** Para resolver o problema, atualize para a versão RELEASE.2024-12-13T22-19-12Z ou posterior. Como solução temporária, considere bloquear o acesso externo aos pontos de extremidade da API `/minio/admin/v2/import-iam` e `/minio/admin/v3/import-iam-v2`, por exemplo, usando um balanceador de carga ou firewall como o `nginx`.

**Name of the Vulnerable Software and Affected Versions** MinIO versions prior to RELEASE.2023-03-20T20-16-18Z **Description** MinIO, a Multi-Cloud Object Storage framework, contains a security flaw within the `PostPolicyBucket` component related to privilege management errors. An attacker with `arn:aws:s3:::*` permissions and enabled Console API access can exploit this issue by sending specially crafted HTTP requests to bypass metadata bucket name checking and place objects into any bucket. This could potentially lead to privilege escalation. There is no information available regarding the number of affected devices or real-world exploitation of this issue. The vulnerable code resides in `minio/cmd/generic-handlers.go` within the `setRequestValidityHandler` function. The `PostPolicyBucket` component is susceptible to bypass due to improper handling of bucket name validation. **Recommendations** Upgrade to RELEASE.2023-03-20T20-16-18Z or later. As a temporary workaround, enable browser API access and turn off `MINIO BROWSER=off`.

**Name of the Vulnerable Software and Affected Versions** Minio versions prior to RELEASE.2023-03-20T20-16-18Z **Description** The issue is related to insufficient access control in Minio, a Multi-Cloud Object Storage framework. Minio fails to filter the `` character, which allows for arbitrary object placement across buckets. As a result, a user with low privileges, such as an access key, service account, or STS credential, which only has permission to `PutObject` in a specific bucket, can create an admin user. **Recommendations** For versions prior to RELEASE.2023-03-20T20-16-18Z, update to RELEASE.2023-03-20T20-16-18Z or later to resolve the issue. At the moment, there are no known workarounds for this issue.

**Nome do software vulnerável e versões afetadas** Versões do MinIO anteriores à RELEASE.2021-12-27T07-23-18Z **Descrição** O problema está relacionado ao gerenciamento inseguro de privilégios no MinIO, um aplicativo nativo do Kubernetes para armazenamento em nuvem. Ele permite que um invasor remoto eleve seus privilégios criando uma chamada de API HTTP. A vulnerabilidade pode ser explorada para atualizar a política de um usuário e obter privilégios mais elevados. **Recomendações** Para versões anteriores à RELEASE.2021-12-27T07-23-18Z, atualize para a versão RELEASE.2021-12-27T07-23-18Z ou posterior, que altera o tipo de corpo de solicitação aceito e remove a capacidade de aplicar alterações de política por meio dessa API. Como solução alternativa temporária, considere adicionar uma regra `Deny` explícita para desativar a API para os usuários, o que pode impedir alterações de senha.