Endpoint AssumeRoleWithLDAPIdentity w usłudze STS systemu MinIO AIStor jest podatny na brute-force poświadczeń LDAP z powodu rozróżnialnych odpowiedzi błędów oraz braku ograniczenia liczby prób uwierzytelnienia. Nieuwierzytelniony atakujący sieciowy może wyliczyć prawidłowe nazwy użytkowników LDAP, a następnie bez ograniczeń zgadywać hasła, uzyskując dostęp do zasobów S3 ofiary.
▸ Pokaż oryginał (EN)
MinIO is a high-performance object storage system. Prior to RELEASE.2026-03-17T21-25-16Z, MinIO AIStor's STS (Security Token Service) AssumeRoleWithLDAPIdentity endpoint is vulnerable to LDAP credential brute-forcing due to two combined weaknesses: (1) distinguishable error responses that enable username enumeration, and (2) absence of rate limiting on authentication attempts. An unauthenticated network attacker can enumerate valid LDAP usernames and then perform unlimited password guessing to obtain temporary AWS-style STS credentials, gaining access to the victim's S3 buckets and objects. This issue has been patched in RELEASE.2026-03-17T21-25-16Z.
Podatność wynika z połączenia dwóch słabości (CWE-204 i CWE-307): endpoint STS zwraca różne komunikaty błędów w zależności od tego, czy podana nazwa użytkownika istnieje w katalogu LDAP, co umożliwia enumerację kont. Jednocześnie brak mechanizmu rate limiting pozwala atakującemu na nieograniczoną liczbę prób podania hasła do wyliczonych kont. W rezultacie atakujący może uzyskać tymczasowe poświadczenia STS w formacie AWS (tokeny sesyjne), które przyznają dostęp do zasobów S3.
Atakujący może przejąć kontrolę nad kontami LDAP użytkowników systemu MinIO i uzyskać tymczasowe tokeny STS, co skutkuje nieautoryzowanym dostępem do zasobów S3 (bucketów i przechowywanych obiektów) ofiary.
Należy zaktualizować MinIO AIStor do wersji RELEASE.2026-03-17T21-25-16Z lub nowszej, w której problem został usunięty. Dodatkowo zaleca się wdrożenie zewnętrznych mechanizmów ograniczania prób uwierzytelnienia (np. na poziomie firewall lub reverse proxy) jako dodatkowej warstwy ochrony.
MinIO AIStor we wszystkich wersjach wydanych przed RELEASE.2026-03-17T21-25-16Z
Podatność została zgłoszona i załatana przez producenta — szczegóły dostępne w security advisory na GitHub: GHSA-jv87-32hw-hh99. Patch opublikowano 17 marca 2026 r. (RELEASE.2026-03-17T21-25-16Z).
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMinio
APPMinio< 2026-03-17t21-25-16z
Powiązane podatności
MinIO: JWT algorithm confusion umożliwia obejście uwierzytelnienia OIDC
MinIO versions before RELEASE.2020-04-23T00-58-49Z have an authentication bypass issue in the MinIO admin API....
Minio is a Multi-Cloud Object Storage framework. Prior to RELEASE.2023-03-20T20-16-18Z, an attacker can use cr...
Minio is a Multi-Cloud Object Storage framework. In a cluster deployment starting with RELEASE.2019-12-17T23-1...
MinIO is a high-performance object storage system. Starting in RELEASE.2023-05-18T00-05-36Z and prior to RELEA...