发布时间:2023-04-03
来源:圣博润
| CVE ID | CVE-2023-28432 | 公开日期 | 2023-03-29 |
| 危害级别 | 高危 | 攻击复杂程度 | 低 |
| POC/EXP | 已公开 | 攻击途径 | 远程网络 |
MinIO是一个开源的、云原生的对象存储服务。它的设计目标是为云原生应用程序提供高性能、高可用性、可扩展性和安全性的对象存储。
当MinIO为集群模式配置时,未经身份验证的攻击者通过构造特制请求包,最终可获取所有环境变量信息,攻击者可利用其中的MINIO_SECRET_KEY与MINIO_ROOT_PASSWORD以管理员身份登录后台。CVSS评分为7.5,目前漏洞细节已被公开披露,请受影响的用户尽快采取措施进行防护。
2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z
目前官方已发布安全修复版本,受影响用户可以升级到RELEASE.2023-03-20T20-16-18Z及以上版本。
补丁下载链接:https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q
来源:MISC
链接: https://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3q
来源:MISC
链接: https://www.greynoise.io/blog/openai-minio-and-why-you-should-always-use-docker-cli-scan-to-keep-your-supply-chain-clean
来源:MISC
链接: https://twitter.com/Andrew___Morris/status/1639325397241278464
来源:MISC
链接: https://viz.greynoise.io/tag/minio-information-disclosure-attempt
来源:MISC
链接: https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z
来源:cxsecurity.com
链接: https://cxsecurity.com/cveshow/CVE-2023-28432/
地址:北京市海淀区东冉北街9号宝蓝ㆍ金园网络安全服务产业园 A幢B3010室
邮箱:support@sbr-info.com
邮编:100044
技术支持热线:010-8213-8088、400-966-2332
网址:http://www.sbr-info.com/
北京圣博润高新技术股份有限公司
京ICP备07015083号-1
