Harshavardhana

**Name of the Vulnerable Software and Affected Versions** MinIO versões RELEASE.2023-05-18T00-05-36Z até RELEASE.2026-04-11T03-20-12Z **Description** Existe um bypass de autenticação no caminho de código `STREAMING-UNSIGNED-PAYLOAD-TRAILER`. Um invasor que possua uma chave de acesso válida pode gravar objetos arbitrários em qualquer bucket sem a chave secreta ou uma assinatura criptográfica válida. O problema ocorre porque `PutObjectHandler` e `PutObjectPartHandler` utilizam `newUnsignedV4ChunkedReader` com um portão de verificação de assinatura que depende apenas do cabeçalho `Authorization`. Simultaneamente, `isPutActionAllowed` aceita credenciais do cabeçalho `Authorization` ou do parâmetro de consulta `X-Amz-Credential`. Ao omitir o cabeçalho `Authorization` e fornecer credenciais via string de consulta, o portão de assinatura é ignorado e a solicitação é processada usando as permissões da chave de acesso impersonada. Isso afeta caminhos de bucket padrão e de tabelas/warehouse, bem como uploads de múltiplas partes. **Recommendations** Atualizar para a versão MinIO AIStor RELEASE.2026-04-11T03-20-12Z ou posterior. Bloquear solicitações de trailer não assinado no balanceador de carga, rejeitando qualquer solicitação que contenha `X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER` na camada de proxy reverso ou WAF. Restringir as concessões de `s3:PutObject` a principais confiáveis para limitar as permissões de gravação (WRITE).

**Name of the Vulnerable Software and Affected Versions** MinIO versions prior to RELEASE.2026-03-26T21-24-40Z **Description** A flaw in the `extractMetadataFromMime()` function allows any authenticated user with `s3:PutObject` permission to inject internal server-side encryption metadata into objects. This is achieved by sending crafted `X-Minio-Replication-*` headers on a normal PutObject request. The server incorrectly maps these headers to internal encryption metadata without verifying the request's legitimacy. Objects written in this manner become permanently unreadable through the S3 API. The issue was introduced in commit `468a9fae83e965ecefa1c1fdc2fc57b84ece95b0` on 2024-03-28. The affected component is `cmd/handler-utils.go`. **Recommendations** Upgrade to MinIO AIStor version RELEASE.2026-03-26T21-24-40Z or later. If upgrading is not immediately possible, restrict replication headers at a reverse proxy or load balancer by dropping or rejecting any request containing `X-Minio-Replication-Server-Side-Encryption-*` headers that does not also carry `X-Minio-Source-Replication-Request`. Audit IAM policies and limit `s3:PutObject` grants to trusted principals.

**Name of the Vulnerable Software and Affected Versions** MinIO versions prior to RELEASE.2026-03-17T21-25-16Z **Description** The MinIO AIStor Security Token Service (STS) `AssumeRoleWithLDAPIdentity` endpoint is susceptible to LDAP credential brute-forcing. This is due to a combination of distinguishable error responses that allow for username enumeration and the absence of rate limiting on authentication attempts. An unauthenticated network attacker can enumerate valid LDAP usernames and then attempt unlimited password guesses to obtain temporary AWS-style STS credentials, potentially gaining access to the victim's S3 buckets and objects. The issue involves two weaknesses: user enumeration via distinguishable error messages and missing rate limiting on STS authentication endpoints. Exploitation allows an attacker to enumerate valid LDAP usernames, perform high-speed password brute-force attacks, and, upon success, obtain temporary AWS-style STS credentials with full access to the victim user's S3 resources. The API endpoint `/Action=AssumeRoleWithLDAPIdentity` is involved in this issue. **Recommendations** Upgrade to MinIO AIStor RELEASE.2026-03-17T21-25-16Z or later. If upgrading is not immediately possible, implement network-level rate limiting on requests to the `/Action=AssumeRoleWithLDAPIdentity` endpoint. If upgrading is not immediately possible, restrict access to the STS endpoint to trusted networks/IP ranges only. If upgrading is not immediately possible, configure account lockout policies on the LDAP server.

**Name of the Vulnerable Software and Affected Versions** Minio versions RELEASE.2020-12-23T02-24-12Z through RELEASE.2023-03-13T19-46-17Z **Description** The issue is related to a user with `consoleAdmin` permissions potentially creating a user that matches the root credential `accessKey`. Once this user is created successfully, the root credential ceases to work appropriately. Exploitation of this issue may allow a remote attacker to disable access to the root credentials. **Recommendations** For versions RELEASE.2020-12-23T02-24-12Z through RELEASE.2023-03-13T19-46-17Z, update to RELEASE.2023-03-13T19-46-17Z or later to resolve the issue. As a temporary workaround, consider adding higher privileges to the disabled root user via `mc admin policy set`.

**Nome do software vulnerável e versões afetadas** Versões do MinIO de RELEASE.2019-09-25T18-25-51Z a RELEASE.2022-06-02T02-11-04Z **Descrição** O problema está relacionado a um acúmulo infinito de go-routines durante a manutenção de conexões estabelecidas, devido ao fato de os clientes HTTP não fecharem as conexões. As implantações do MinIO voltadas para o público são as mais afetadas. **Recomendações** Para as versões RELEASE.2019-09-25T18-25-51Z a RELEASE.2022-06-02T02-11-04Z, atualize para a versão RELEASE.2022-06-02T02-11-04Z ou posterior para receber um patch. Como solução alternativa temporária, considere usar um proxy reverso para limitar o número de conexões tentadas no MinIO e rejeitar ativamente conexões de clientes maliciosos.

**Nome do software vulnerável e versões afetadas** Versões do Minio de RELEASE.2021-10-10T16-53-30Z a RELEASE.2021-10-12T23-59-59Z **Descrição** A vulnerabilidade envolve a contornamento das restrições de política para usuários regulares no Minio, um aplicativo nativo do Kubernetes para armazenamento em nuvem. Normalmente, a função `checkKeyValid()` deve retornar `owner true` para `rootCreds`. No entanto, na versão afetada, a restrição de política não funcionava corretamente para usuários que não possuíam contas de serviço (svc) ou de serviço de token de segurança (STS). **Recomendações** Para as versões RELEASE.2021-10-10T16-53-30Z a RELEASE.2021-10-12T23-59-59Z, atualize para a versão RELEASE.2021-10-13T00-23-17Z para resolver o problema. Como solução alternativa temporária, considere reverter para a versão RELEASE.2021-10-08T23-58-24Z.

**Nome do software vulnerável e versões afetadas** Versões do MinIO anteriores à RELEASE.2021-03-17T02-33-02Z **Descrição** O MinIO é um serviço de armazenamento de objetos de código aberto e de alto desempenho, compatível por API com o serviço de armazenamento em nuvem Amazon S3. A vulnerabilidade permite a modificação MITM (Man-in-the-Middle) de corpos de solicitação cuja integridade deveria ser garantida por assinaturas de blocos. Em uma solicitação PUT usando a codificação `aws-chunked`, o MinIO normalmente verifica as assinaturas no final de um bloco. Essa verificação pode ser ignorada se o cliente enviar um tamanho de bloco falso que seja muito maior do que os dados reais enviados: o servidor aceita e conclui a solicitação sem nunca chegar ao final do bloco + e, portanto, sem nunca verificar a assinatura do bloco. **Recomendações** Para versões anteriores à RELEASE.2021-03-17T02-33-02Z, atualize para a versão RELEASE.2021-03-17T02-33-02Z ou posterior. Como solução alternativa temporária, considere evitar o uso de solicitações de upload com assinatura de chunk baseadas na codificação `aws-chunked` e, em vez disso, use TLS. Os SDKs do MinIO desativam automaticamente a assinatura de codificação chunked quando o endpoint do servidor é configurado com TLS.

**Nome do software vulnerável e versões afetadas** Versões do MinIO anteriores à RELEASE.2021-03-04T00-53-13Z **Descrição** O problema está relacionado a erros de autorização no MinIO, um serviço de armazenamento de objetos de alto desempenho de código aberto compatível com o armazenamento em nuvem Amazon S3. Ele permite que um invasor remoto contorne uma política de leitura exclusiva (readOnly) criando uma URL temporária ‘mc share upload’, o que pode comprometer a integridade das informações protegidas. Todos os usuários do MinIO multi-users são afetados. **Recomendações** Para versões anteriores à RELEASE.2021-03-04T00-53-13Z, atualize para a versão RELEASE.2021-03-04T00-53-13Z para resolver o problema. Como solução alternativa temporária, considere desativar uploads com `Content-Type: multipart/form-data` usando um proxy na frente do MinIO, conforme mencionado na documentação da API S3 RESTObjectPOST.

**Nome do software vulnerável e versões afetadas: Versões do MinIO anteriores à RELEASE.2021-01-30T00-20-58Z Descrição: O problema está relacionado a uma vulnerabilidade de falsificação de solicitação do lado do servidor. O aplicativo alvo pode possuir funcionalidades para importar dados de uma URL, publicar dados em uma URL ou, de outra forma, ler dados de uma URL que possa ser adulterada. Um invasor pode modificar as chamadas a essa funcionalidade fornecendo uma URL completamente diferente ou manipulando a forma como as URLs são construídas, permitindo-lhe abusar da funcionalidade no servidor para ler ou atualizar recursos internos. Isso pode permitir que o invasor leia a configuração do servidor, conecte-se a serviços internos ou execute solicitações POST para serviços internos que não deveriam ser expostos. Recomendações: Para versões anteriores à RELEASE.2021-01-30T00-20-58Z, atualize para a versão RELEASE.2021-01-30T00-20-58Z ou posterior. Como solução alternativa temporária, considere desativar o front-end do navegador definindo a variável de ambiente `MINIO BROWSER` como `off`.

**Nome do software vulnerável e versões afetadas** Versões do MinIO anteriores à RELEASE.2020-04-23T00-58-49Z **Descrição** A vulnerabilidade permite a contornar a autenticação na API de administração do MinIO. Com uma chave de acesso de administrador, é possível realizar operações na API de administração, como criar novas contas de serviço para chaves de acesso existentes, sem conhecer a chave secreta de administrador. **Recomendações** Para versões anteriores à RELEASE.2020-04-23T00-58-49Z, atualize para a versão RELEASE.2020-04-23T00-58-49Z ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à API de administração do MinIO para minimizar o risco de exploração.