PT-2021-7169 · Minio+1 · Minio+1
Donatello
·
Publicado
2021-12-27
·
Atualizado
2024-12-26
·
CVE-2021-43858
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do MinIO anteriores à RELEASE.2021-12-27T07-23-18Z
Descrição
O problema está relacionado ao gerenciamento inseguro de privilégios no MinIO, um aplicativo nativo do Kubernetes para armazenamento em nuvem. Ele permite que um invasor remoto eleve seus privilégios criando uma chamada de API HTTP. A vulnerabilidade pode ser explorada para atualizar a política de um usuário e obter privilégios mais elevados.
Recomendações
Para versões anteriores à RELEASE.2021-12-27T07-23-18Z, atualize para a versão RELEASE.2021-12-27T07-23-18Z ou posterior, que altera o tipo de corpo de solicitação aceito e remove a capacidade de aplicar alterações de política por meio dessa API.
Como solução alternativa temporária, considere adicionar uma regra
Deny explícita para desativar a API para os usuários, o que pode impedir alterações de senha.Exploit
Correção
Incorrect Authorization
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Minio