HIGH🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2023-28434

CVSS 8.8v3.1pub. 2023-03-22upd. 2026-02-26

Minio is a Multi-Cloud Object Storage framework. Prior to RELEASE.2023-03-20T20-16-18Z, an attacker can use crafted requests to bypass metadata bucket name checking and put an object into any bucket while processing `PostPolicyBucket`. To carry out this attack, the attacker requires credentials with `arn:aws:s3:::*` permission, as well as enabled Console API access. This issue has been patched in RELEASE.2023-03-20T20-16-18Z. As a workaround, enable browser API access and turn off `MINIO_BROWSER=off`.

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
  • Minio

    APP
    Minio
    < 2023-03-20t20-16-18z

CISA KEV — szczegółyi

Dostawcai
MinIO
Produkti
MinIO
Data dodania do KEVi
19 września 2023
Termin remediation (USA)i
10 października 2023(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

MinIO zawiera lukę w zabezpieczeniach umożliwiającą obejście mechanizmu bezpieczeństwa, która pozwala atakującemu za pomocą spreparowanych żądań obejść kontrolę nazwy zasobnika metadanych i umieścić obiekt w dowolnym zasobniku podczas przetwarzania `PostPolicyBucket` w celu przeprowadzenia eskalacji uprawnień. Aby przeprowadzić ten atak, atakujący wymaga poświadczeń z uprawnieniami `arn:aws:s3:::*` oraz włączonego dostępu do Console API.

tłumaczenie AI
Pokaż oryginał (EN)

MinIO contains a security feature bypass vulnerability that allows an attacker to use crafted requests to bypass metadata bucket name checking and put an object into any bucket while processing `PostPolicyBucket` to conduct privilege escalation. To carry out this attack, the attacker requires credentials with `arn:aws:s3:::*` permission, as well as enabled Console API access.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 10 października 2023
CWE
Referencje

Powiązane podatności

CVE-2026-33322CRITICAL9.2PL ✓ten sam produkt

MinIO: JWT algorithm confusion umożliwia obejście uwierzytelnienia OIDC

CVE-2026-33419CRITICAL9.1PL ✓ten sam produkt

MinIO AIStor: brute-force danych LDAP przez STS AssumeRoleWithLDAPIdentity

CVE-2020-11012CRITICAL9.3ten sam produkt

MinIO versions before RELEASE.2020-04-23T00-58-49Z have an authentication bypass issue in the MinIO admin API....

CVE-2023-28432HIGH7.5⚠ KEVten sam produkt

Minio is a Multi-Cloud Object Storage framework. In a cluster deployment starting with RELEASE.2019-12-17T23-1...

CVE-2026-40344HIGH8.8ten sam produkt

MinIO is a high-performance object storage system. Starting in RELEASE.2023-05-18T00-05-36Z and prior to RELEA...