Niklasbeierl

**Nome do software vulnerável e versões afetadas** Versões do MinIO anteriores a RELEASE.2024-01-31T20-20-33Z **Descrição** O problema está relacionado à herança de permissões por chaves de acesso no MinIO, um sistema de armazenamento de objetos de alto desempenho. Quando uma chave de acesso é criada, ela herda as permissões da chave pai, incluindo ações `admin:*`, a menos que os direitos `admin` sejam explicitamente negados em algum ponto acima na hierarquia de chaves de acesso. Isso permite que as chaves de acesso substituam suas próprias permissões `s3` por algo mais permissivo. O número estimado de dispositivos potencialmente afetados em todo o mundo é de cerca de 322.400, distribuídos principalmente na China, nos Estados Unidos e em outros países. **Recomendações** Para resolver o problema, atualize para o MinIO RELEASE.2024-01-31T20-20-33Z ou posterior, que inclui a correção para as verificações de permissão para edição de chaves de acesso. Como solução alternativa temporária, considere negar explicitamente as ações `admin` nas chaves de acesso para evitar a escalada de privilégios. Restrinja o acesso à permissão `UpdateServiceAccountAdminAction` para minimizar o risco de exploração. Evite usar as ações `admin:*` nas chaves de acesso até que o problema seja resolvido.