漏洞描述
MinIO 是一个开源的对象存储服务器。
MinIO RELEASE.2023-03-20T20-16-18Z之前版本中的 bootstrap-peer-server.go#VerifyHandler 方法存在敏感信息泄漏漏洞,攻击者可向集群部署中的 MinIO 服务器的 /minio/bootstrap/v1/verify API发送POST请求,从而获取到 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD 等所有环境变量信息,从而以管理员身份登录 MinIO 服务。
漏洞名称 | MinIO 环境变量泄漏漏洞 |
---|---|
漏洞类型 | 信息暴露 |
发现时间 | 2023/3/23 |
漏洞影响广度 | 广 |
MPS编号 | MPS-2023-8166 |
CVE编号 | CVE-2023-28432 |
CNVD编号 | - |
影响范围
github.com/minio/minio/cmd@[RELEASE.2019-12-17T23-16-33Z, RELEASE.2023-03-20T20-16-18Z)
修复方案
升级github.com/minio/minio/cmd到 RELEASE.2023-03-20T20-16-18Z 或更高版本