Plataforma
go
Componente
minio
Corregido en
2023.0.1
Se ha descubierto una vulnerabilidad de bypass de autenticación en MinIO, específicamente en el código relacionado con STREAMING-UNSIGNED-PAYLOAD-TRAILER. Esta falla permite a usuarios con una clave de acceso válida escribir objetos arbitrarios en cualquier bucket sin necesidad de la clave secreta o una firma criptográfica válida. La vulnerabilidad afecta a las versiones de MinIO entre RELEASE.2023-05-18 y RELEASE.2026-04-11, y se ha solucionado en la versión 2026-04-11.
El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante, conociendo una clave de acceso válida (como la predeterminada minioadmin o una con permisos de escritura en un bucket), comprometer la integridad de los datos almacenados en MinIO. Un atacante podría sobreescribir objetos existentes, inyectar archivos maliciosos o incluso eliminar datos críticos. La facilidad de explotación, requiriendo solo una clave de acceso y el nombre del bucket, amplía el radio de explosión y aumenta el riesgo de ataques. Esta vulnerabilidad es similar en su impacto a fallas de autenticación que permiten acceso no autorizado a recursos protegidos.
La vulnerabilidad fue publicada el 2026-04-22. No se ha confirmado explotación activa en entornos reales, pero la facilidad de explotación y la disponibilidad de la clave de acceso predeterminada minioadmin en algunas configuraciones la convierten en un objetivo atractivo. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible. La vulnerabilidad no se encuentra en el KEV de CISA ni tiene una puntuación EPSS asignada.
Organizations utilizing MinIO for object storage, particularly those using the default minioadmin access key or those with overly permissive access controls, are at significant risk. Shared hosting environments where multiple users share MinIO buckets are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.
• linux / server:
journalctl -u minio -g 'STREAMING-UNSIGNED-PAYLOAD-TRAILER'• generic web:
curl -I https://<minio_endpoint>/<bucket_name>/<object_name> -H "X-Minio-Access-Key: <valid_access_key>" -H "X-Minio-Signature: "• linux / server:
lsof -i :9000 | grep miniodisclosure
patch
Estado del Exploit
EPSS
0.12% (31% percentil)
CISA SSVC
La mitigación principal es actualizar a la versión de MinIO 2026-04-11 o superior, donde se ha corregido la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda restringir el acceso a los buckets y las claves de acceso, asegurándose de que solo los usuarios autorizados tengan permisos de escritura. Implementar una política de rotación de claves de acceso también puede ayudar a limitar el impacto en caso de que una clave sea comprometida. Monitorear los logs de MinIO en busca de patrones de escritura inusuales puede ayudar a detectar intentos de explotación. No existen reglas WAF o proxies específicas para esta vulnerabilidad, la actualización es la solución principal.
Actualice a MinIO AIStor RELEASE.2026-04-11T03-20-12Z o posterior. Si la actualización no es posible de inmediato, bloquee las solicitudes unsigned-trailer en el balanceador de carga o WAF, o restrinja los permisos de escritura a los usuarios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-41145 is an authentication bypass vulnerability in MinIO allowing attackers with a valid access key to write arbitrary objects to any bucket without a signature.
You are affected if you are running MinIO versions between 2023-05-18T00-05-36Z (inclusive) and 2026-04-11T03-20-12Z (exclusive).
Upgrade MinIO to version 2026-04-11T03-20-12Z or later. Review release notes and test the upgrade before deploying to production.
While no public exploits are currently known, the vulnerability's simplicity suggests exploitation is likely.
Refer to the official MinIO security advisory for CVE-2026-41145 on the MinIO website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.