PT-2022-16916 · Minio+1 · Minio+1

Gbd199

·

Publicado

2022-04-12

·

Atualizado

2024-12-26

·

CVE-2022-24842

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do MinIO anteriores à RELEASE.2022-04-12T06-55-35Z
Descrição
Foi encontrada uma falha de segurança no MinIO em que um usuário não administrador pode criar contas de serviço para o usuário root ou outros usuários administradores e, em seguida, assumir suas políticas de acesso por meio das credenciais geradas, permitindo que o usuário eleve seus privilégios aos do usuário root.
Recomendações
Para versões anteriores à RELEASE.2022-04-12T06-55-35Z, atualize para a RELEASE.2022-04-12T06-55-35Z ou posterior para resolver o problema.
Como solução alternativa temporária, considere adicionar explicitamente uma política de negação admin:CreateServiceAccount; no entanto, isso também impedirá o usuário de criar suas próprias contas de serviço.

Exploit

Correção

Improper Privilege Management

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-269

Identificadores relacionados

ALT-PU-2022-3382
ALT-PU-2023-1522
ALT-PU-2023-1908
ALT-PU-2023-2074
ALT-PU-2024-17529
BIT-MINIO-2022-24842
CVE-2022-24842
GHSA-2J69-JJMG-534Q

Produtos afetados

Alt Linux
Minio