PT-2022-23025 · Minio+1 · Minio+1

Alevsk

·

Publicado

2022-07-29

·

Atualizado

2024-12-26

·

CVE-2022-35919

CVSS v3.1

7.4

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
Nome do software vulnerável e versões afetadas
MinIO (versões afetadas não especificadas)
Descrição
A vulnerabilidade afeta o MinIO, um armazenamento de objetos de alto desempenho, no qual usuários admin autorizados para a ação admin:ServerUpdate podem provocar um erro que retorna o conteúdo do caminho solicitado. Isso permite o acesso a conteúdos em caminhos arbitrários que possam ser lidos pelo processo do MinIO.
Recomendações
Para todas as versões afetadas, recomenda-se que os usuários realizem a atualização.
Como solução alternativa temporária, considere desativar a API ServerUpdate, negando a ação admin:ServerUpdate para usuários admin por meio de políticas do IAM.

Exploit

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

ALT-PU-2022-3382
ALT-PU-2023-1522
ALT-PU-2023-1908
ALT-PU-2023-2074
ALT-PU-2024-17529
BIT-MINIO-2022-35919
CVE-2022-35919
GHSA-GR9V-6PCM-RQVG

Produtos afetados

Alt Linux
Minio