Plataforma
go
Componente
minio
Corregido en
2023.0.1
Se han descubierto dos vulnerabilidades de bypass de autenticación en MinIO, específicamente en el código de manejo de STREAMING-UNSIGNED-PAYLOAD-TRAILER. Estas vulnerabilidades permiten a usuarios con una clave de acceso válida escribir objetos arbitrarios en cualquier bucket, sin necesidad de la clave secreta o una firma criptográfica. Las versiones afectadas son aquellas entre RELEASE.2023-05-18T00-05-36Z y RELEASE.2026-04-11T03-20-12Z. Una actualización a la versión 2026-04-11 o la aplicación de mitigaciones es esencial.
El impacto de estas vulnerabilidades es significativo, ya que cualquier despliegue de MinIO es susceptible. Un atacante que posea una clave de acceso válida (como el usuario predeterminado minioadmin o una clave con permisos de escritura en un bucket) puede explotar estas vulnerabilidades para escribir datos maliciosos en cualquier bucket. Esto podría resultar en la corrupción de datos, la inserción de código malicioso o el acceso no autorizado a información confidencial. La falta de verificación de la firma en PutObjectExtractHandler y la verificación de la firma en el código relacionado permiten esta manipulación. La facilidad de explotación, requiriendo solo una clave de acceso y el nombre del bucket, amplía el radio de explosión y aumenta el riesgo de ataques.
Esta vulnerabilidad ha sido publicada el 2026-04-22. No se ha confirmado la explotación activa en entornos reales, pero la facilidad de explotación y la disponibilidad de la información técnica sugieren un riesgo moderado. La vulnerabilidad se encuentra en el lenguaje Go, lo que podría facilitar la creación de exploits. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing MinIO for object storage, particularly those using the default minioadmin access key or those with overly permissive access key configurations, are at significant risk. Shared hosting environments where multiple users share access keys are especially vulnerable. Legacy MinIO deployments that have not been regularly updated are also at increased risk.
• linux / server:
journalctl -u minio -g 'signature verification failed'• generic web:
curl -I <minio_endpoint>/<bucket_name>/<object_name> # Check for unexpected response codes or headers indicating unauthorized access• linux / server:
lsof -i :9000 | grep minio # Check for MinIO processes listening on the default portdisclosure
patch
Estado del Exploit
EPSS
0.15% (35% percentil)
CISA SSVC
La mitigación principal es actualizar MinIO a la versión 2026-04-11 o posterior, que incluye las correcciones necesarias. Si la actualización no es inmediatamente posible, se recomienda limitar el acceso a los buckets y restringir los permisos de escritura a los usuarios estrictamente necesarios. Implementar reglas en un WAF (Web Application Firewall) o proxy para bloquear solicitudes sospechosas que intenten escribir objetos sin una firma válida puede proporcionar una capa adicional de protección. Monitorear los logs de MinIO en busca de patrones de escritura inusuales o no autorizadas también es crucial. Se recomienda revisar la configuración de acceso y asegurarse de que las claves de acceso predeterminadas estén deshabilitadas o rotadas regularmente.
Actualice a MinIO AIStor RELEASE.2026-04-11T03-20-12Z o posterior. Si la actualización no es posible de inmediato, bloquee las solicitudes de trailer no firmados en el balanceador de carga o proxy inverso, o restrinja los permisos de escritura.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-40344 is an authentication bypass vulnerability in MinIO allowing unauthorized object writes with a valid access key, impacting versions 2023-05-18T00-05-36Z and prior to 2026-04-11T03-20-12Z.
If you are running MinIO versions between 2023-05-18T00-05-36Z and 2026-04-11T03-20-12Z, you are potentially affected by this vulnerability.
Upgrade MinIO to version 2026-04-11T03-20-12Z or later to remediate the vulnerability. Assess upgrade impact beforehand.
There is currently no confirmed active exploitation, but the vulnerability's simplicity suggests a potential for exploitation.
Refer to the official MinIO security advisory for detailed information and updates: [https://docs.min.io/docs/security-advisories/](https://docs.min.io/docs/security-advisories/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.