CRITICAL🇬🇧 English

CVE-2026-33322

MinIO: JWT algorithm confusion umożliwia obejście uwierzytelnienia OIDC

CVSS 9.2v4.0pub. 2026-03-24upd. 2026-04-08

Podatność w systemie przechowywania obiektów MinIO pozwala atakującemu, który zna wartość OIDC ClientSecret, na sfałszowanie dowolnych tokenów tożsamości JWT i uzyskanie poświadczeń S3 z dowolną polityką dostępu, włącznie z uprawnieniami administratora (consoleAdmin). Problem dotyczy szerokiego zakresu wersji wydanych na przestrzeni ponad trzech lat.

Pokaż oryginał (EN)

MinIO is a high-performance object storage system. From RELEASE.2022-11-08T05-27-07Z to before RELEASE.2026-03-17T21-25-16Z, a JWT algorithm confusion vulnerability in MinIO's OpenID Connect authentication allows an attacker who knows the OIDC ClientSecret to forge arbitrary identity tokens and obtain S3 credentials with any policy, including consoleAdmin. This issue has been patched in RELEASE.2026-03-17T21-25-16Z.

🤖 Analiza AI
Jak działa

Podatność (CWE-287) wynika z błędu w obsłudze algorytmów JWT (JWT algorithm confusion) w mechanizmie uwierzytelniania OpenID Connect (OIDC) w MinIO. Atakujący posiadający znajomość wartości OIDC ClientSecret może wykorzystać nieścisłość w weryfikacji algorytmu podpisu tokenu, aby spreparować własny token tożsamości akceptowany przez serwer jako prawidłowy. Sfałszowany token pozwala na pobranie poświadczeń S3 skojarzonych z dowolnie wybraną polityką dostępu.

Skutki

Atakujący może uzyskać pełen dostęp administracyjny do instancji MinIO (rola consoleAdmin), co umożliwia odczyt, modyfikację i usunięcie przechowywanych danych obiektowych oraz przejęcie kontroli nad całą infrastrukturą składowania.

Mitygacja

Należy zaktualizować MinIO do wersji RELEASE.2026-03-17T21-25-16Z lub nowszej, w której podatność została usunięta. Dodatkowo warto rozważyć rotację wartości OIDC ClientSecret jako działanie uzupełniające po aktualizacji.

Kogo dotyczy

MinIO w wersjach od RELEASE.2022-11-08T05-27-07Z do wersji poprzedzającej RELEASE.2026-03-17T21-25-16Z, przy włączonej integracji z OpenID Connect.

Uwagi

Podatność wymaga od atakującego uprzedniej znajomości wartości OIDC ClientSecret (warunek AT:P w wektorze CVSS), co nieznacznie ogranicza powierzchnię ataku, lecz nie eliminuje zagrożenia w przypadku wycieku tej wartości.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Minio

    APP
    Minio
    2022-11-08t05-27-07z – 2026-03-17t21-25-16z (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-33419CRITICAL9.1PL ✓ten sam produkt

MinIO AIStor: brute-force danych LDAP przez STS AssumeRoleWithLDAPIdentity

CVE-2020-11012CRITICAL9.3ten sam produkt

MinIO versions before RELEASE.2020-04-23T00-58-49Z have an authentication bypass issue in the MinIO admin API....

CVE-2023-28434HIGH8.8⚠ KEVten sam produkt

Minio is a Multi-Cloud Object Storage framework. Prior to RELEASE.2023-03-20T20-16-18Z, an attacker can use cr...

CVE-2023-28432HIGH7.5⚠ KEVten sam produkt

Minio is a Multi-Cloud Object Storage framework. In a cluster deployment starting with RELEASE.2019-12-17T23-1...

CVE-2026-40344HIGH8.8ten sam produkt

MinIO is a high-performance object storage system. Starting in RELEASE.2023-05-18T00-05-36Z and prior to RELEA...