0


CVE-2023-25812 MinIO 存在权限控制不当漏洞(POC)

漏洞描述

MinIO 是根据 AGPL v3.0 发布的高性能对象存储框架。

MinIO 影响版本中由于未正确遵守 ByPassGoverance 的拒绝策略,当 S3 存储桶策略配置 Deny statement 为 s3:BypassGovernanceRetention 且 Allow statement 为 s3:* 时,

攻击者可发送包含 X-Amz-Bypass-Governance-Retention: true 标头的恶意请求绕过 MinIO 的治理模式(Governance mode),进而删除或修改存储桶中的敏感文件。

该漏洞已存在poc。
漏洞名称MinIO 存在权限控制不当漏洞漏洞类型反序列化发现时间2023/2/22漏洞影响广度广MPS编号MPS-2023-4689CVE编号CVE-2023-25812CNVD编号-

影响范围

minio@[RELEASE.2020-04-10T03-34-42Z, RELEASE.2023-02-17T17-52-43Z)

github.com/minio/minio@[v0.0.0-20200410034700-7c919329e8f7, v0.0.0-20230217022334-a7188bc9d0f0)

修复方案

升级minio到 RELEASE.2023-02-17T17-52-43Z 或更高版本

升级github.com/minio/minio到 v0.0.0-20230217022334-a7188bc9d0f0 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2023-4689

https://nvd.nist.gov/vuln/detail/CVE-2023-25812

https://github.com/minio/minio/security/advisories/GHSA-c8fc-mjj8-fc63

https://github.com/minio/minio/commit/a7188bc9d0f0a5ae05aaf1b8126bcd3cb3fdc485

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

官网地址:https://www.murphysec.com/

开源地址:https://github.com/murphysecurity/murphysec

在这里插入图片描述

标签: 安全

本文转载自: https://blog.csdn.net/murphysec/article/details/129177974
版权归原作者 墨菲安全 所有, 如有侵权,请联系我们删除。

“CVE-2023-25812 MinIO 存在权限控制不当漏洞(POC)”的评论:

还没有评论