PT-2024-9695 · Minio+2 · Minio+2
Donatello
·
Publicado
2024-12-15
·
Atualizado
2025-04-14
·
CVE-2024-55949
CVSS v4.0
9.3
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do software vulnerável e versões afetadas
Versões do MinIO anteriores a RELEASE.2024-12-13T22-19-12Z
Descrição
O problema está relacionado a uma vulnerabilidade de escalonamento de privilégios na API de importação do IAM do MinIO, que é um armazenamento de objetos de alto desempenho compatível com S3. Essa vulnerabilidade permite que qualquer usuário obtenha privilégios administrativos completos. O problema é causado pela falta de verificação de permissões na API, permitindo que um usuário altere seu mapeamento de políticas. Todos os usuários são afetados desde o commit
580d9db85e04f1b63cc2909af50f0ed08afa965f do MinIO.Recomendações
Para resolver o problema, atualize para a versão RELEASE.2024-12-13T22-19-12Z ou posterior. Como solução temporária, considere bloquear o acesso externo aos pontos de extremidade da API
/minio/admin/v2/import-iam e /minio/admin/v3/import-iam-v2, por exemplo, usando um balanceador de carga ou firewall como o nginx.Exploit
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Minio
Red Os