CVE-2026-39414

Name of the Vulnerable Software and Affected Versions MinIO versões RELEASE.2018-08-18T03-49-57Z até RELEASE.2025-12-20T04-58-37Z

Description O recurso S3 Select do MinIO é suscetível a exaustão de memória ao lidar com arquivos CSV com linhas que excedem a memória disponível. A função nextSplit() dentro do leitor CSV utiliza bufio.Reader.ReadBytes(' ') sem uma restrição de tamanho, potencialmente armazenando em buffer todo o conteúdo de entrada até que uma nova linha seja encontrada. Arquivos CSV sem caracteres de nova linha podem fazer com que todo o conteúdo do arquivo seja carregado na memória, resultando em uma falha de falta de memória (OOM) do servidor MinIO. Esta questão é explorável por usuários autenticados que possuem permissões s3:PutObject e s3:GetObject. A compressão pode amplificar o impacto, pois um pequeno arquivo CSV compactado pode ser descompactado para um tamanho grande sem novas linhas, aumentando o consumo de memória.

Recommendations Para as versões do MinIO RELEASE.2018-08-18T03-49-57Z até RELEASE.2025-12-20T04-58-37Z, limite o tamanho dos arquivos CSV carregados no sistema para evitar o consumo excessivo de memória. Considere implementar a validação de entrada para rejeitar arquivos CSV sem caracteres de nova linha.