MinIO - это высокопроизводительное объектное хранилище, выпущенное под лицензией Apache License v2.0. В MinIO до версии RELEASE.2021-01-30T00-20-58Z существует уязвимость подделки запросов на стороне сервера. Целевое приложение может иметь функциональность для импорта данных из URL-адреса, публикации данных в URL-адрес или иного чтения данных из URL-адреса, который может быть изменен. Злоумышленник изменяет вызовы этой функциональности, предоставляя совершенно другой URL-адрес или манипулируя способом построения URL-адресов (обход пути и т. д.). В атаке Server-Side Request Forgery (SSRF) злоумышленник может злоупотребить функциональностью на сервере для чтения или обновления внутренних ресурсов. Злоумышленник может предоставить или изменить URL-адрес, по которому код, работающий на сервере, будет считывать или отправлять данные, и, тщательно выбирая URL-адреса, злоумышленник может получить возможность читать конфигурацию сервера, такую как метаданные AWS, подключаться к внутренним службам, таким как базы данных с поддержкой HTTP, или выполнять запросы POST к внутренним службам, которые не предназначены для предоставления. Эта проблема исправлена в версии RELEASE.2021-01-30T00-20-58Z, всем пользователям рекомендуется обновиться. В качестве обходного решения можно отключить внешний интерфейс браузера с помощью переменной среды “MINIO_BROWSER=off”.