流行的开源对象存储平台 MinIO 中新发现的一个漏洞可能允许任何用户将其权限升级到管理员级别,从而对数据安全构成重大风险。
该漏洞被追踪为 CVE-2024-55949,CVSSv4 得分为 9.3(危急),存在于 IAM 导入 API 中。由于权限检查缺失,攻击者可以通过制作恶意的 iam-info.zip 文件并通过 mc admin 集群 iam 导入命令上传该文件,利用该漏洞修改自己的用户权限。这样,他们就可以授予自己完全的管理控制权,从而有效地劫持整个 MinIO 部署。
此漏洞影响自 2022 年 6 月 23 日以来发布的所有 MinIO 版本,并影响所有用户,无论其初始权限如何。
强烈建议 MinIO 用户立即将其部署更新到已修补的版本 (RELEASE.2024-12-13T22-19-12Z)。该漏洞没有已知的解决方法。
这不是 MinIO 第一次面临安全挑战。2023 年,攻击者利用另外两个关键漏洞(CVE-2023-28432 和 CVE-2023-28434),在未经授权的情况下访问敏感数据并执行任意代码。
CVE-2024-55949 存在严重的权限升级风险,且没有可用的解决方法。由于 MinIO 系统对现代数据工作负载至关重要,因此必须立即打补丁。延迟行动可能会使组织面临严重的漏洞和数据泄露。
文章原文链接:https://www.anquanke.com/post/id/302822