Minio
Уязвимости
41
Эксплуатируемые
2
Макс. CVSS
9.3
Макс. EPSS
0.83957
Распределение по критичности
Критический
4
Высокий
28
Средний
8
Низкий
1
Затронутые диапазоны версий
2019-09-25t18-25-51z–2022-06-02t02-11-04z2019-12-17t23-16-33z–2023-03-20t20-16-18z2020-04-10t03-34-42z–2023-02-17t17-52-43z2020-12-23t02-24-12z–2023-03-13t19-46-17z2021-12-09t06-19-41z–2022-04-12t06-55-35z< 0.0.0-20250403145552-8c70975283f9< 2018-05-16t23-35-33z< 2020-04-23t00-58-49z< 2021-01-30t00-20-58z< 2021-03-04t00-53-13z< 2021-03-17t02-33-02z< 2021-12-27t07-23-18z< 2022-07-29t19-40-48z< 2023-03-20t20-16-18z< release.2025-10-15t17-29-55z< release.2026-03-17t21-25-16z< release.2026-03-26t21-24-40z< v0.0.0-20240527191746-e0fe7cc39172RELEASE.2022-11-08t05-27-07z–RELEASE.2026-03-17t21-25-16zrelease.2018-08-18t03-49-57z–release.2025-12-20t04-58-37zrelease.2022-07-24t01-54-52z–release.2026-04-14t21-32-45zrelease.2023-05-18t00-05-36z–release.2026-04-11t03-20-12zrelease.2024-06-06t09-36-42z–release.2025-02-28t09-55-16zv0.0.0-20220623162515-580d9db85e04–v0.0.0-20241213221912-68b004a48f41
Также сопоставлено как (исходные строки): minio
Топ уязвимостей
CVE-2024-55949MinIO — это высокопроизводительное хранилище объектов, совместимое с S3, с открытым исходным кодом под лицензией GNU AGPLv3. Minio подвержен повышению привилегий в API импорта IAM, что влияет на всех пользователей, начиная с коммита MinIO `580d9db85e04f1b63cc2909af50f0ed08afa965f`. Эта проблема была решена в коммите `f246c9053f9603e610d98439799bdd2a6b293427`, который включен в RELEASE.2024-12-13T22-19-12Z. Обходных путей нет, всем пользователям рекомендуется немедленно обновиться.
CVE-2026-33322MinIO - это высокопроизводительная система хранения объектов. От РЕЛИЗА.2022-11-08T05-27-07Z до РЕЛИЗА.2026-03-17T21-25-16Z уязвимость алгоритма JWT в аутентификации MinIO OpenID Connect позволяет злоумышленнику, который знает OIDC ClientSecret, подделывать произвольные токены идентификации и получать учетные данные S3 с любой политикой, включая консольAdmin. Этот вопрос был исправлен в РЛАЗ.2026-03-17T21-25-16Z.
CVE-2026-33419MinIO - это высокопроизводительная система хранения объектов. До ВЫПУСКА.2026-03-17T21-25-16Z, мини-альбомы STS (Security Token Service) AssumeRoleWithLDAPIDity конечные точки уязвимости LDAPID, уязвимы для LDAP-кримента из-за двух комбинированных слабых мест: (1) различимые ответы ошибок, которые позволяют перечислять имя пользователя, и (2) отсутствие ограничения скорости на попытки аутентификации. Неаутентифицированный сетевой злоумышленник может перечислять действительные имена пользователей LDAP, а затем выполнять неограниченные угадывания паролей, чтобы получить временные учетные данные STS в стиле AWS, получая доступ к ведрам и объектам S3 жертвы. Этот вопрос был исправлен в РЕЛИЗ.2026-03-17T21-25-16Z.
BDU:2024-11410Уязвимость сервера хранения объектов MinIO связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии до уровня root
CVE-2026-41145MinIO - это высокопроизводительная система хранения объектов. Начиная с РЕЛИЗА.2023-05-18T00-05-36Z и до ВЫПУСКА.2026-04-11T03-20-12Z, уязвимость обхода аутентификации в протоколе МинИО «ПРОЗВЕЗДАНИЕ-ПОДПИСАННЫЙ-ПОДГОВАРИВАЕМЫЙ-ПОДГОТОВКА-привратник»
позволяет любому пользователю, который знает действительный ключ доступа, записывать произвольные объекты в любое ведро, не зная секретного ключа или не предоставляя действительную криптографическую подпись. Любое развертывание MinIO пострадало. Атака требует только действительный ключ доступа (известный по умолчанию `minioadmin` или любой ключ с разрешением WRITE на ведре) и имя целевого ведра. «PutObjectHandler`» и «PutObjectPartHandler` call»«newObjectHandler` «Открытый ключ» с помощью ворот проверки подписей, основанных исключительно на наличии заголовка «Авторизация». Между тем, `isPutActionAllowed` извлекает учетные данные либо из заголовка «Авторизация», либо из «Авторизации» или «Авторс»
`X-Amz-Credential` параметр запроса, и доверяет тому, что находит. Злоумышленник опускает заголовок «Авторизация» и поставляет учетные данные исключительно через строку запроса. Завеса подписи оценивается до «ложь», «DisSignatureMatch`» никогда не вызывается, и запрос переходит с разрешениями выдающего себя за ключ доступа. Это влияет на «PutObjectHandler`» (стандартные и складские ковши) и «PutObjectPartHandler` (многократные загрузки). Пользователи проекта с открытым исходным кодом `minio/minio` должны перейти на Минио AIStor `RELEASE.2026-04-01T03-20-12Z` или более поздней версии. Если обновление не сразу возможно, блокируйте неподписанный прицеп-запросы у балансира нагрузки. Отклонить любой запрос, содержащий `X-Amz-Content-Sha256: ПОТОКОВАЯ НЕПОДПИСАННЫЙ-ПОДГОУГАННЫЙ-ПРИЦЕД' на обратном прокси или WAF-слое. Клиенты могут использовать вместо этого «STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER» (подписанный вариант). В качестве альтернативы, ограничьте разрешения WRITE. Ограничьте `s3:PutObject` гранты доверенным принципалам. Хотя это уменьшает поверхность атаки, это не устраняет уязвимость, поскольку любой пользователь с разрешением WRITE может использовать ее только с помощью своего ключа доступа.
CVE-2026-40344MinIO - это высокопроизводительная система хранения объектов. Начиная с РЛАЗ.2023-05-18T00-05-36Z и до ВЫПУСКА.2026-04-11T03-20-12Z, уязвимость обхода аутентификации в обработчике автоэксtract Мини-Снегаля (`PutObjectExtractHandler`) позволяет любому пользователю, который знает действительный ключ доступа, записывать произвольные объекты в любое ведро, не зная секретного ключа. Пострадало любое развертывание МиниО. Для атаки требуется только действительный ключ доступа (известный «миниоадмин» по умолчанию или любой ключ с разрешением WRITE на ведре) и имя целевого ковшового ковра. Когда была добавлена поддержка «uuthTypeStreamingUnsignedTrailer`», новый тип auth Обрабатывался в «PutObjectHandler`» и «PutObjectPartHandler`», но никогда не добавлялся в «PutObjectExtractrandler». Блок «Автоэкстрактный обработчик снежного комбайна» `switch rauthType` не имеет оснований для `uthTypeStreamingUnsignedTrailer`, поэтому исполнение падает с нулевым подтверждением подписи. «isPutActionAllowed`» вызов перед выключением ключа доступа и проверки разрешений IAM, но не проверяет криптографическую подпись. Злоумышленник отправляет запрос PUT с `X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER`, `X-Amz-Meta-Snowball-AutoExtract: true`, и заголовок "Авторизация" с полностью сфабрикованной подписью. Запрос принимается, и полезная нагрузка смолы извлекается в ведро. Пользователи проекта minio/minio с открытым исходным кодом должны перейти на MiniIO AIStor RLEASE.2026-04-11T03-20-12Z или более поздней версии. Если обновление не возможно сразу, блокируйте неподписанный прицеп запросы на балансировщик нагрузки. Отклоните любой запрос, содержащий X-Amz-Content-Sha256: ПОТОКОВОЙ ПЕРЕДАЧА-НЕПОДПИСАЧИТАЯ ПОЛНОМОЧИВЫЙ-ПОДГОТОВОК-ПРИЦЕДЕНТ на обратном прокси или уровне WAF. Вместо этого клиенты могут использовать ПОТОКОВЫЙ AWS4-HMAC-SHA256-PAYLOAD-TRAILER (подписанный вариант). В качестве альтернативы, ограничьте разрешения WRITE. Лимит s3:PutObject гранты доверенным принципалам. Хотя это уменьшает поверхность атаки, это не устраняет уязвимость, поскольку любой пользователь с разрешением WRITE может использовать ее только с помощью ключа доступа.
CVE-2024-24747MinIO - это высокопроизводительное объектное хранилище. Когда кто-то создает ключ доступа, он наследует разрешения родительского ключа. Не только для действий `s3:*`, но и для действий `admin:*`. Это означает, что если где-то выше в иерархии ключей доступа права `admin` не будут отклонены, ключи доступа смогут просто переопределить свои собственные разрешения `s3` на что-то более разрешительное. Уязвимость исправлена в RELEASE.2024-01-31T20-20-33Z.
CVE-2023-28434Minio — это платформа многооблачного объектного хранилища. До RELEASE.2023-03-20T20-16-18Z злоумышленник может использовать специально созданные запросы для обхода проверки имени корзины метаданных и поместить объект в любую корзину во время обработки `PostPolicyBucket`. Для осуществления этой атаки злоумышленнику требуются учетные данные с разрешением `arn:aws:s3:::*`, а также включенный доступ к API консоли. Эта проблема была исправлена в RELEASE.2023-03-20T20-16-18Z. В качестве обходного пути включите доступ к API браузера и отключите `MINIO_BROWSER=off`.
CVE-2023-28433Minio — это платформа многооблачного объектного хранилища. Затронуты все пользователи Windows до версии RELEASE.2023-03-20T20-16-18Z. MinIO не фильтрует символ `\`, что позволяет произвольно размещать объекты по корзинам. В результате пользователь с низкими привилегиями, например ключом доступа, учетной записью службы или учетными данными STS, у которого есть только разрешение на `PutObject` в определенной корзине, может создать учетную запись администратора. Эта проблема исправлена в RELEASE.2023-03-20T20-16-18Z. Обходных путей не существует.
CVE-2023-25812Minio — это платформа многооблачного объектного хранилища. Затронутые версии некорректно учитывают политику `Deny` в ByPassGoverance. В идеале minio должен возвращать «Access Denied» всем пользователям, пытающимся УДАЛИТЬ versionId со специальным заголовком `X-Amz-Bypass-Governance-Retention: true`. Однако это не учитывалось, вместо этого запрос будет выполнен, и объект, находящийся под управлением, будет некорректно удален. Всем пользователям рекомендуется обновиться. Известных обходных путей для этой проблемы нет.
CVE-2022-24842MinIO — это высокопроизводительное хранилище объектов, выпущенное под лицензией GNU Affero General Public License v3.0. Была обнаружена проблема безопасности, когда пользователь, не являющийся администратором, может создавать учетные записи служб для root или других пользователей-администраторов, а затем может принимать их политики доступа через сгенерированные учетные данные. Это, в свою очередь, позволяет пользователю повысить привилегии до привилегий пользователя root. Эта уязвимость была устранена в запросе на включение #14729 и включена в `RELEASE.2022-04-12T06-55-35Z`. Пользователи, которые не могут обновиться, могут обойти эту проблему, явно добавив политику запрета `admin:CreateServiceAccount`, однако это, в свою очередь, лишает пользователя возможности создавать свои собственные учетные записи служб.
CVE-2021-43858MinIO — это Kubernetes-приложение для облачного хранилища. До версии `RELEASE.2021-12-27T07-23-18Z` злонамеренный клиент может вручную создать вызов HTTP API, который позволяет обновлять политику для пользователя и получать более высокие привилегии. Исправление в версии `RELEASE.2021-12-27T07-23-18Z` изменяет принятый тип тела запроса и удаляет возможность применения изменений политики через этот API. Существует обходной путь для этой уязвимости: изменение паролей можно отключить, добавив явное правило `Deny`, чтобы отключить API для пользователей.
CVE-2021-41137Minio - это собственное приложение Kubernetes для облачного хранилища. Все пользователи в выпуске `RELEASE.2021-10-10T16-53-30Z` подвержены уязвимости, которая включает в себя обход ограничений политики для обычных пользователей. Обычно checkKeyValid() должен возвращать owner true для rootCreds. В затронутой версии ограничение политики не работало должным образом для пользователей, у которых не было сервисных (svc) или служб маркеров безопасности (STS). Эта проблема исправлена в `RELEASE.2021-10-13T00-23-17Z`. Даунгрейд обратно к выпуску `RELEASE.2021-10-08T23-58-24Z` доступен в качестве обходного пути.
BDU:2024-01131Уязвимость сервера хранения объектов MinIO связана с недостатками разграничения доступа на основе политики UpdateServiceAccountAdminAction. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
BDU:2023-07540Уязвимость сервера хранения объектов MinIO связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, создать пользователя с правами администратора
BDU:2023-05199Уязвимость компонента PostPolicyBucket сервера хранения объектов MinIO связана с ошибками при управлении привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированных HTTP-запросов
BDU:2023-01857Уязвимость сервера хранения объектов MinIO связана с ошибками при сохранении разрешений. Эксплуатация уязвимости может позволить нарушителю удалить управляемый объект
BDU:2022-03596Уязвимость сервера хранения объектов MinIO связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии с помощью вызова HTTP API
CVE-2025-31489MinIO - это высокопроизводительное объектное хранилище, выпущенное под лицензией GNU Affero General Public License v3.0. Компонент подписи авторизации может быть недействительным, что означает, что как клиент вы можете использовать любой произвольный секрет для загрузки объектов, если у пользователя уже есть права WRITE на ведро. Предварительное знание ключа доступа и имени ведра, к которому этот пользователь может иметь доступ, - и ключ доступа с правами WRITE - необходимо. Однако при наличии соответствующей информации загрузка случайных объектов в ведра является тривиальной и простой задачей через curl. Эта проблема исправлена в RELEASE.2025-04-03T14-56-28Z.
CVE-2025-62506MinIO - это высокопроизводительная система хранения объектов. Во всех версиях до ВЫВОДА.2025-10-15T17-29-55Z уязвимость привилегий позволяет учетным записями служб и учетными записями STS (Security Token Service) с ограниченными политиками сеансов обходить свои встроенные ограничения политики при выполнении операций на своей учетной записи, в частности, при создании новых учетных записей службы для того же пользователя. Уязвимость существует в логике проверки политики IAM, где код неправильно полагался на аргумент DenyOnly при проверке политик сеанса для ограниченных учетных записей. Когда присутствует политика сессии, система должна подтвердить, что действие допускается политикой сессии, а не только то, что в нем не отказано. Злоумышленник с действительными учетными данными для ограниченной службы или учетной записи STS может создать новую учетную запись обслуживания для себя без ограничений политики, в результате чего новая учетная запись обслуживания с полными родительскими привилегиями вместо того, чтобы быть ограниченной встроенной политикой. Это позволяет злоумышленнику получать доступ к ведрам и объектам за пределами их предполагаемых ограничений и изменять, удалять или создавать объекты за пределами их авторизованного объема. Уязвимость исправлена в версии РЕЛИЗ.2025-10-15T17-29-55Z.
BDU:2025-13411Уязвимость сервера хранения объектов MinIO связана с недостатками механизма авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
CVE-2021-21287MinIO - это высокопроизводительное объектное хранилище, выпущенное под лицензией Apache License v2.0. В MinIO до версии RELEASE.2021-01-30T00-20-58Z существует уязвимость подделки запросов на стороне сервера. Целевое приложение может иметь функциональность для импорта данных из URL-адреса, публикации данных в URL-адрес или иного чтения данных из URL-адреса, который может быть изменен. Злоумышленник изменяет вызовы этой функциональности, предоставляя совершенно другой URL-адрес или манипулируя способом построения URL-адресов (обход пути и т. д.). В атаке Server-Side Request Forgery (SSRF) злоумышленник может злоупотребить функциональностью на сервере для чтения или обновления внутренних ресурсов. Злоумышленник может предоставить или изменить URL-адрес, по которому код, работающий на сервере, будет считывать или отправлять данные, и, тщательно выбирая URL-адреса, злоумышленник может получить возможность читать конфигурацию сервера, такую как метаданные AWS, подключаться к внутренним службам, таким как базы данных с поддержкой HTTP, или выполнять запросы POST к внутренним службам, которые не предназначены для предоставления. Эта проблема исправлена в версии RELEASE.2021-01-30T00-20-58Z, всем пользователям рекомендуется обновиться. В качестве обходного решения можно отключить внешний интерфейс браузера с помощью переменной среды "MINIO_BROWSER=off".
BDU:2021-03386Уязвимость сервера хранения объектов MinIO связана с ошибками авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти политику readOnly и оказать воздействие на целостность защищаемой информации в результате создания временного URL-адреса «mc share upload»
CVE-2023-28432Minio — это платформа многооблачного объектного хранилища. В кластерном развертывании, начиная с RELEASE.2019-12-17T23-16-33Z и до RELEASE.2023-03-20T20-16-18Z, MinIO возвращает все переменные среды, включая `MINIO_SECRET_KEY` и `MINIO_ROOT_PASSWORD`, что приводит к раскрытию информации. Затронуты все пользователи распределенного развертывания. Всем пользователям рекомендуется обновиться до RELEASE.2023-03-20T20-16-18Z.
CVE-2022-31028MinIO — это многооблачное решение для хранения объектов. Начиная с версии RELEASE.2019-09-25T18-25-51Z и заканчивая версией RELEASE.2022-06-02T02-11-04Z, MinIO уязвим для неограниченного наращивания go-подпрограмм при поддержании установленных соединений из-за того, что HTTP-клиенты не закрывают соединения. Публичные развертывания MinIO наиболее подвержены этому. Пользователям следует обновиться до RELEASE.2022-06-02T02-11-04Z, чтобы получить исправление. Одним из возможных обходных путей является использование обратного прокси-сервера для ограничения количества соединений, устанавливаемых перед MinIO, и активного отклонения соединений от таких вредоносных клиентов.