CVE-2024-24747|MinIO权限提升漏洞
CVE-2024-24747|MinIO权限提升漏洞
alicy 信安百科 2024-02-03 12:34
0x00 前言
MinIO 是一种高性能、
Amason的S3
分布式对象存储。专为大规模AI/ML、数据和数据库工作负载而构建,并且它是由软件定义的存储。
Minio 可以做为云存储的解决方案用来保存海量的图片,视频,文档。由于采用 Golang 实现,服务端可以工作在 Windows,Linux, OS X 和 FreeBSD 上。配置简单,基本是复制可执行程序,单行命令可以运行起来。
默认端口:9000
默认用户名、密码:
minioadmin
0x01 漏洞描述
Minio创建访问密钥时权限继承存在问题。
创建新的访问密钥会继承其父密钥对s3:和admin:的操作权限,如果在访问密钥的权限中未明确拒绝admin权限,访问密钥则能够修改自身权限。
攻击者可以利用该漏洞提升权限,访问所有部署区域。
0x02 CVE编号
CVE-2024-24747
0x03 影响版本
Minio < RELEASE.2024-01-31T20-20-33Z
0x04 漏洞详情
https://github.com/minio/minio/security/advisories/GHSA-xx8w-mq23-29g4
0x05 参考链接
https://github.com/minio/minio/security/advisories/GHSA-xx8w-mq23-29g4
推荐阅读:
CVE-2023-46805|Ivanti Connect Secure & Policy Secure身份验证绕过漏洞
CVE-2023-50164|Apache Struts2远程代码执行漏洞
CVE-2023-22527|Atlassian Confluence远程代码执行漏洞
Ps:国内外安全热点分享,欢迎大家分享、转载,请保证文章的完整性。文章中出现敏感信息和侵权内容,请联系作者删除信息。信息安全任重道远,感谢您的支持
!!!
本公众号的文章及工具仅提供学习参考,由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用者本人负责,本公众号及文章作者不为此承担任何责任。
