MinIO - это высокопроизводительная система хранения объектов. Во всех версиях до ВЫВОДА.2025-10-15T17-29-55Z уязвимость привилегий позволяе…

MinIO - это высокопроизводительная система хранения объектов. Во всех версиях до ВЫВОДА.2025-10-15T17-29-55Z уязвимость привилегий позволяет учетным записями служб и учетными записями STS (Security Token Service) с ограниченными политиками сеансов обходить свои встроенные ограничения политики при выполнении операций на своей учетной записи, в частности, при создании новых учетных записей службы для того же пользователя. Уязвимость существует в логике проверки политики IAM, где код неправильно полагался на аргумент DenyOnly при проверке политик сеанса для ограниченных учетных записей. Когда присутствует политика сессии, система должна подтвердить, что действие допускается политикой сессии, а не только то, что в нем не отказано. Злоумышленник с действительными учетными данными для ограниченной службы или учетной записи STS может создать новую учетную запись обслуживания для себя без ограничений политики, в результате чего новая учетная запись обслуживания с полными родительскими привилегиями вместо того, чтобы быть ограниченной встроенной политикой. Это позволяет злоумышленнику получать доступ к ведрам и объектам за пределами их предполагаемых ограничений и изменять, удалять или создавать объекты за пределами их авторизованного объема. Уязвимость исправлена в версии РЕЛИЗ.2025-10-15T17-29-55Z.