PT-2021-23119 · Minio · Minio
Harshavardhana
·
Publicado
2021-10-13
·
Atualizado
2024-03-06
·
CVE-2021-41137
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Minio de RELEASE.2021-10-10T16-53-30Z a RELEASE.2021-10-12T23-59-59Z
Descrição
A vulnerabilidade envolve a contornamento das restrições de política para usuários regulares no Minio, um aplicativo nativo do Kubernetes para armazenamento em nuvem. Normalmente, a função
checkKeyValid() deve retornar owner true para rootCreds. No entanto, na versão afetada, a restrição de política não funcionava corretamente para usuários que não possuíam contas de serviço (svc) ou de serviço de token de segurança (STS).Recomendações
Para as versões RELEASE.2021-10-10T16-53-30Z a RELEASE.2021-10-12T23-59-59Z, atualize para a versão RELEASE.2021-10-13T00-23-17Z para resolver o problema.
Como solução alternativa temporária, considere reverter para a versão RELEASE.2021-10-08T23-58-24Z.
Correção
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Minio