CVE-2026-42600

Nome do Software Vulnerável e Versões Afetadas MinIO versões RELEASE.2022-07-24T01-54-52Z até RELEASE.2025-09-07T16-13-09Z

Descrição Uma falha de path traversal no endpoint de armazenamento-REST internode ReadMultiple permite que um invasor com o JWT raiz do cluster leia arquivos fora das raízes de unidade configuradas. Isso afeta implantações distribuídas-erasure (multi-node), enquanto implantações standalone de nó único não são afetadas. O ataque requer um JWT HS512 assinado com MINIO ROOT PASSWORD e a accessKey definida como MINIO ROOT USER.

O problema ocorre porque o manipulador ReadMultiple em cmd/storage-rest-server.go encaminha os campos Bucket, Prefix e Files de um corpo ReadMultipleReq codificado em msgpack para xlStorage.ReadMultiple em cmd/xl-storage.go sem validação. A função pathJoin resolve componentes .., permitindo o acesso a qualquer caminho no sistema de arquivos acessível pelo UID do processo MinIO. Um invasor pode disparar isso enviando uma requisição POST para '/minio/storage/{drivePath}/v63/rmpl' com sequências de travessia no campo Bucket.

O impacto varia conforme a implantação: em sistemas bare-metal, o acesso é limitado a arquivos pertencentes ao UID do MinIO (ex: chaves privadas TLS, material de chave KMS/KES); em ambientes conteinerizados executados como UID 0, permite a divulgação arbitrária do sistema de arquivos do host, incluindo /etc/shadow e tokens de conta de serviço do Kubernetes.

Recomendações Atualize para o MinIO AIStor versão RELEASE.2024-10-23T19-38-07Z ou posterior. Rotacione a credencial raiz e restrinja sua distribuição para evitar a criação não autorizada de JWTs. Configure os containers MinIO para serem executados como um usuário não root, definindo securityContext.runAsNonRoot: true ou usando a flag --user no Docker. Use a flag --internode-port para isolar o tráfego internode em uma interface separada e bloqueie essa interface para redes de clientes.