CVE-2025-27414

Nome do Software Vulnerável e Versões Afetadas Versões do MinIO RELEASE.2024-06-06T09-36-42Z até RELEASE.2025-02-28T09-55-16Z

Descrição Uma falha na avaliação de confiança da chave SSH usada em uma conexão SFTP pela MinIO permite bypass de autenticação e acesso não autorizado a dados. Este problema afeta servidores MinIO com acesso SFTP configurado e que utilizam LDAP como provedor de identidade externo. Quando um usuário não possui a propriedade sshPublicKey no LDAP, o servidor confia na chave do cliente, permitindo que o cliente execute operações de FTP permitidas pelas políticas de acesso do MinIO associadas ao usuário do LDAP ou aos seus grupos. Para explorar este problema, um atacante deve conhecer um nome de usuário LDAP sem a propriedade sshPublicKey, e este nome de usuário ou um de seus grupos deve ter uma política de acesso do MinIO configurada. A exploração bem-sucedida permite que o atacante execute operações de FTP, como leitura, gravação, exclusão e listagem de objetos, conforme permitido pela política de acesso.

Recomendações Para as versões RELEASE.2024-06-06T09-36-42Z até RELEASE.2025-02-28T09-55-16Z, atualize para a versão 1.2.0 para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso a conexões SFTP para usuários sem a propriedade sshPublicKey definida em seu servidor LDAP, ou limite as políticas de acesso do MinIO associadas a esses usuários e seus grupos.