CVE-2023-25812 MinIO 存在权限控制不当漏洞（POC）

墨菲安全

已于 2023-02-23 11:28:55 修改

阅读量2.2k

点赞数

CC 4.0 BY-SA版权

分类专栏：墨菲安全实验室漏洞预警文章标签：安全

于 2023-02-23 11:23:36 首次发布

本文链接：https://blog.youkuaiyun.com/murphysec/article/details/129177974

漏洞描述

MinIO 是根据 AGPL v3.0 发布的高性能对象存储框架。

MinIO 影响版本中由于未正确遵守 ByPassGoverance 的拒绝策略，当 S3 存储桶策略配置 Deny statement 为 s3:BypassGovernanceRetention 且 Allow statement 为 s3:* 时，

攻击者可发送包含 X-Amz-Bypass-Governance-Retention: true 标头的恶意请求绕过 MinIO 的治理模式(Governance mode)，进而删除或修改存储桶中的敏感文件。

该漏洞已存在poc。

漏洞名称	MinIO 存在权限控制不当漏洞
漏洞类型	反序列化
发现时间	2023/2/22
漏洞影响广度	广
MPS编号	MPS-2023-4689
CVE编号	CVE-2023-25812
CNVD编号	-

影响范围

minio@[RELEASE.2020-04-10T03-34-42Z, RELEASE.2023-02-17T17-52-43Z)

github.com/minio/minio@[v0.0.0-20200410034700-7c919329e8f7, v0.0.0-20230217022334-a7188bc9d0f0)

修复方案

升级minio到 RELEASE.2023-02-17T17-52-43Z 或更高版本

升级githu

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

墨菲安全

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

参与评论您还未登录，请先登录后发表或查看评论

博客

NPM组件 @blocks-shared/atom-panel 等窃取主机敏感信息

07-12

368

NPM组件@blocks-shared/atom-panel等被投毒，安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响nbastatsleftnav、ltiditest等多个组件，受影响版本范围广且无最小修复版本。漏洞利用成本低、可能性中，属高危风险。建议立即排查并卸载受影响包，删除node_modules及package-lock.json后重装依赖，同时全面检查系统安全，重置敏感凭证。

博客

NPM组件 @frontend-clients/wallet-web 等窃取主机敏感信息

07-11

345

NPM组件@frontend-clients/wallet-web等存在高危投毒漏洞，安装时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响dependabot-ruleset-runner、yoomoney-github-landing等30余个组件特定版本，利用成本低，可能性中。建议立即排查并卸载受影响包，删除依赖文件后重装，全面检查系统安全，加强依赖管理规范。

博客

Chrome拓展 Video Speed Controller 等内嵌恶意后门

07-10

670

【高危】多款Chrome拓展（含Video Speed Controller相关）被植入恶意后门，可窃取用户浏览链接，与攻击者C2服务器建立持久连接，并强制浏览器重定向至恶意网站。受影响拓展涉及多个ID版本（如eckokfcjbjbgjifpcbdmengnabecdakp≤1.0.11等），利用成本低，风险等级高。建议立即排查并移除受影响拓展，全面检查系统安全。

博客

泛微e-cology ＜ 10.76 前台SQL注入漏洞

07-10

421

泛微e-cology <10.76版本存在高危前台SQL注入漏洞。攻击者可未授权通过/api/doc/out/more/list接口注入恶意SQL至Redis，再经/api/ec/dev/table/counts接口执行，导致未授权SQL注入，可能进一步写入Webshell实现远程代码执行。影响版本为(-∞,10.76)，建议立即升级至10.76及以上版本。应急可通过WAF阻断涉事接口、加强参数校验、限制Redis访问缓解风险。

博客

NPM组件 n8n-nodes-zalo-tools-vts 等窃取主机敏感信息

07-08

277

NPM组件n8n-nodes-zalo-tools-vts（0.0.1-0.0.6版本）及ass-frontend 1.0.0存在投毒风险，安装后会窃取主机名、用户名、工作目录、IP等敏感信息并发送至攻击者服务器。漏洞利用成本低，可能性中，属高危。建议立即排查并卸载受影响包，删除node_modules和package-lock.json后重装依赖，全面检查系统安全，加强依赖管理规范。

博客

Redis hyperloglog 越界写入导致远程代码执行漏洞

07-08

2374

CVE-2025-32023是Redis HyperLogLog组件的高危远程代码执行漏洞。由于解析稀疏编码数据时未验证操作码运行长度，导致整数溢出及堆越界写入。影响Redis 8.0.0-8.0.2、2.8-6.2.18、7.4.0-7.4.4、7.2.0-7.2.9版本，利用可能性高且存在POC。修复版本通过增加溢出检测标志位阻断越界操作，建议受影响用户升级至8.0.3+、6.2.19+、7.4.5+或7.2.10+，并限制服务访问来源。

博客

NPM组件包 json-cookie-csv 等窃取主机敏感信息

07-07

496

NPM组件包json-cookie-csv等存在高危投毒漏洞，安装受影响版本后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。涉及token-renewal、graphql-commons、canonical-bridge-ui等20余个组件的特定版本，目前无最小修复版本。利用成本低、可能性中，强烈建议立即排查并移除受影响包，删除node_modules及package-lock.json后重装依赖，全面检查系统安全，加强依赖管理，仅使用官方源并限制版本范围。

博客

泛微e-cology remarkOperate远程命令执行漏洞

07-07

345

泛微e-cology remarkOperate接口存在高危远程命令执行漏洞，源于/api/workflow/reqform/remarkOperate接口的multipart类型参数requestid未经验证直接拼接SQL语句，导致SQL注入。攻击者可利用该漏洞执行任意SQL，甚至通过写文件实现远程命令执行。影响范围覆盖全版本，建议立即对该接口实施访问控制、WAF拦截SQL注入特征，同时升级至官方修复版本并采用参数化查询修复根本问题。

博客

NPM组件 querypilot 等窃取主机敏感信息

07-06

595

【高危】NPM组件querypilot等存在投毒风险，安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。受影响组件包括@vapc-ui/font-icon、@indigo-mobile/material、querypilot等30余个，版本多为[1.0.0, 99.99.99]等大范围。利用成本低，可能性中。建议立即排查卸载受影响包，删除node_modules后重装依赖，全面检查系统安全，加强依赖管理（如限制版本范围、使用官方源）。

博客

泛微e-cology remarkOperate远程命令执行漏洞

07-06

294

泛微e-cology协同管理平台存在高危远程命令执行漏洞，因/api/workflow/reqform/remarkOperate接口的multipart类型参数requestid未校验直接拼接SQL，导致SQL注入。攻击者可执行任意SQL，甚至写文件实现远程命令执行，影响所有版本。建议立即限制接口访问、配置WAF过滤、验证参数输入，并通过官方渠道获取补丁修复。

博客

NPM组件 nodemantle002 等窃取主机敏感信息

07-05

555

高危NPM组件投毒漏洞（MPS-qrk7-ayms）影响nodemantle002、lz-evm-sdk-v1等多个包，安装后窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。受影响版本包括nodemantle002@2.3.1-6.2.1、definitelytyped-tools@1.0.0-99.99.98等。利用成本低，建议立即排查并卸载恶意包，删除node_modules后重装依赖，加强依赖管理（限制版本范围、使用官方源），用安全工具监控风险。

博客

泛微e-cology remarkOperate远程命令执行漏洞

07-05

538

泛微e-cology协同管理平台存在高危远程命令执行漏洞，因/api/workflow/reqform/remarkOperate接口的multipart类型requestid参数未校验，直接拼接进SQL语句导致SQL注入。攻击者可执行任意SQL，甚至通过写文件实现远程命令执行。所有版本均受影响，建议通过官方安全补丁修复，或临时用WAF拦截特殊字符、限制接口访问来源等应急措施。

博客

NPM组件 alan-baileys 等窃取主机敏感信息

07-03

811

NPM多个组件（如alan-baileys、logflow-json等）被投毒，安装后会窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。受影响版本涵盖alan-baileys@1.0.1、logflow-json@2.4.12等20余个包，利用成本低。建议立即排查并卸载受影响包，删除node_modules及package-lock.json后重装依赖，全面检查系统异常，加强依赖管理（如限制版本范围、使用官方源）。

博客

深信服运维安全管理系统 netConfig/set_port 远程命令执行漏洞【POC已公开】

07-03

656

深信服运维安全管理系统存在严重远程命令执行漏洞（MPS-jnpc-w4hi），攻击者可绕过登录限制，通过未授权访问netConfig/set_port接口实现远程命令执行，获取系统权限。该漏洞POC已公开，利用成本低、可能性极高。影响版本为3.0.11_20231222之前的所有版本，最小修复版本为3.0.11_20231222。建议立即升级系统，同时可采取限制访问IP、防火墙拦截含接口关键字请求等应急措施。

博客

汉王e脸通综合管理平台 meetingFileManage.do 未授权SQL注入漏洞

07-02

674

汉王e脸通综合管理平台manage/meeting/meetingFileManage.do接口order字段存在未授权SQL注入漏洞。该设备用于门禁、考勤等场景，受影响版本广泛。漏洞利用成本低、可能性极高且有POC，攻击者可未授权执行SQL命令。排查可访问目标路径并测试order参数响应差异。建议立即限制接口访问、部署WAF过滤，根本修复需升级至修复版本并添加认证与参数校验。

博客

NPM组件 betsson 等窃取主机敏感信息

07-01

986

NPM仓库多个组件（如betsson [1.0.0,99.99.2]、mod-cloud [1.0.6,1.1.3]、zenith-quest 1.0.1等）被植入恶意代码，安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。利用成本低，影响范围广。建议立即排查并卸载受影响包，删除node_modules及package-lock.json后重装依赖，全面检查系统安全（如异常进程、境外IP通信），加强依赖管理（使用官方源、限制版本范围、定期审计）。

博客

Dataease ＜2.10.11 PostgreSQL数据源JDBC连接参数绕过漏洞

07-01

485

DataEase <2.10.11版本存在高危PostgreSQL数据源JDBC连接参数绕过漏洞（CVE-2025-53005）。因仅对JDBC连接字符串中socketFactory/socketFactoryArg参数黑名单限制，攻击者可通过sslfactory、sslfactoryarg等未限制参数绕过。影响io.dataease:core-backend及dataease组件，建议升级至2.10.11及以上版本，修复通过新增sslfactory、sslhostnameverifier等参数黑名单实现。

博客

PyPI仓库 loggutils 组件内嵌恶意代码

06-30

191

PyPI仓库loggutils组件0.1.0版本内嵌恶意代码，属高危风险。安装后会窃取用户浏览器数据、剪贴板信息、系统文件，记录键盘输入并截取摄像头画面，同时实现远程控制。利用成本低，利用可能性中。建议立即排查是否安装该版本包，若已安装需彻底移除并扫描系统，检查异常进程与敏感信息泄露，加强依赖管理，仅从官方源安装组件并定期审计依赖安全。

博客

Apache Seata ＜ 2.3.0 raft反序列化漏洞

06-30

329

Apache Seata <2.3.0存在高危反序列化漏洞（CVE-2025-32897），影响Seata Server [2.0.0, 2.3.0)版本。Raft模块CustomDeserializer未校验用户可控类名，直接通过Class.forName()加载，攻击者可利用服务端恶意链实现远程代码执行。修复版本2.3.0引入白名单机制，仅允许反序列化org.apache.seata包下类。建议受影响用户立即升级至2.3.0及以上版本，或限制Raft端口访问并启用IP白名单。

博客

总结过去三年软件供应链安全一些非共识核心问题

03-19

869

过去三年，我大概每年平均至少见300个企业的专家和大佬们，这三年下来也快1000人次了吧。虽然有一些人是重复见了很多次的，但每次见也多少会有新的收获。因为工作的原因，我们聊最多的话题其实是跟软件供应链安全相关的，所以我最近就特别想把过去我们这1000次交流过程中，聊到的最核心的问题都提炼出来，然后在今年的产品迭代、公众号、直播、闭门会议、对外技术交流分享中，把这些内容重点放进去。也是希望通过这样的方式，给所有准备做，或者正在做企业软件供应链安全的专家和大佬朋友们一些输入。