CVE-2026-40344

Name of the Vulnerable Software and Affected Versions MinIO versões RELEASE.2023-05-18T00-05-36Z até RELEASE.2026-04-11T03-20-12Z

Description Existe um bypass de autenticação no manipulador de auto-extração Snowball PutObjectExtractHandler. Este problema permite que um usuário com uma chave de acesso válida escreva objetos arbitrários em qualquer bucket sem fornecer a chave secreta ou uma assinatura criptográfica válida. A falha ocorre porque o bloco switch rAuthType no manipulador não possui um caso para authTypeStreamingUnsignedTrailer, fazendo com que a execução ignore a verificação da assinatura. Um invasor pode explorar isso enviando uma requisição PUT com o cabeçalho X-Amz-Content-Sha256 definido como STREAMING-UNSIGNED-PAYLOAD-TRAILER, o cabeçalho X-Amz-Meta-Snowball-Auto-Extract definido como true e um cabeçalho Authorization contendo uma chave de acesso válida com uma assinatura fabricada.

Recommendations Atualizar para o MinIO AIStor RELEASE.2026-04-11T03-20-12Z ou posterior. Bloquear requisições de unsigned-trailer no balanceador de carga, rejeitando qualquer requisição que contenha X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER na camada de proxy reverso ou WAF. Restringir as permissões de s3:PutObject a principais confiáveis para limitar as permissões de escrita (WRITE).