CVE-2026-41145

Name of the Vulnerable Software and Affected Versions MinIO versões RELEASE.2023-05-18T00-05-36Z até RELEASE.2026-04-11T03-20-12Z

Description Existe um bypass de autenticação no caminho de código STREAMING-UNSIGNED-PAYLOAD-TRAILER. Um invasor que possua uma chave de acesso válida pode gravar objetos arbitrários em qualquer bucket sem a chave secreta ou uma assinatura criptográfica válida. O problema ocorre porque PutObjectHandler e PutObjectPartHandler utilizam newUnsignedV4ChunkedReader com um portão de verificação de assinatura que depende apenas do cabeçalho Authorization. Simultaneamente, isPutActionAllowed aceita credenciais do cabeçalho Authorization ou do parâmetro de consulta X-Amz-Credential. Ao omitir o cabeçalho Authorization e fornecer credenciais via string de consulta, o portão de assinatura é ignorado e a solicitação é processada usando as permissões da chave de acesso impersonada. Isso afeta caminhos de bucket padrão e de tabelas/warehouse, bem como uploads de múltiplas partes.

Recommendations Atualizar para a versão MinIO AIStor RELEASE.2026-04-11T03-20-12Z ou posterior. Bloquear solicitações de trailer não assinado no balanceador de carga, rejeitando qualquer solicitação que contenha X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER na camada de proxy reverso ou WAF. Restringir as concessões de s3:PutObject a principais confiáveis para limitar as permissões de gravação (WRITE).