Plateforme
go
Composant
github.com/minio/minio
Corrigé dans
2022.0.1
0.0.1
La vulnérabilité CVE-2026-33322 est une confusion d'algorithme JWT (JSON Web Token) découverte dans github.com/minio/minio, affectant les versions de MinIO inférieures ou égales à 0.0.0-20260212201848-7aac2a2c5b7c. Cette faille permet à un attaquant connaissant le ClientSecret de l'authentification OpenID Connect (OIDC) de forger des tokens d'identité arbitraires et d'obtenir des identifiants S3 avec n'importe quelle politique, y compris consoleAdmin. Une correction a été déployée en RELEASE.2026-03-17T21-25-16Z.
L'impact de cette vulnérabilité est significatif. Un attaquant disposant du ClientSecret OIDC peut exploiter cette faille pour se faire passer pour n'importe quelle identité utilisateur au sein de l'environnement MinIO. Plus grave encore, il peut obtenir des identifiants S3 avec n'importe quelle politique IAM, y compris consoleAdmin, ce qui lui confère un contrôle total sur les données stockées. Cela inclut la capacité d'accéder, de modifier et de supprimer des données, compromettant ainsi la confidentialité, l'intégrité et la disponibilité des données stockées dans MinIO. L'exploitation est déterministe, garantissant un taux de succès de 100% si le ClientSecret est compromis. Cette vulnérabilité présente des similitudes avec des attaques de confusion d'algorithme JWT observées dans d'autres systèmes d'authentification.
La vulnérabilité CVE-2026-33322 a été publiée le 19 mars 2026. Sa sévérité est considérée comme critique (CVSS 9.5). Il n'y a pas d'indication qu'elle soit actuellement exploitée activement, mais la facilité d'exploitation et l'impact potentiel justifient une attention particulière. Aucune mention sur KEV (Kernel Exploitability Vulnerability). L'EPSS (Exploit Prediction Scoring System) score est en attente d'évaluation. Des preuves de concept (POC) publiques sont susceptibles d'émerger rapidement en raison de la nature déterministe de l'exploitation.
Organizations utilizing MinIO for object storage, particularly those relying on OpenID Connect for authentication, are at risk. Deployments with weak OIDC ClientSecret storage practices or those using shared hosting environments where the ClientSecret might be inadvertently exposed are especially vulnerable. Legacy MinIO configurations that haven't been regularly updated are also at increased risk.
• linux / server:
journalctl -u minio -g 'oidc token'• generic web:
curl -I <minio_endpoint>/ -H 'Authorization: Bearer <potentially forged token>'• linux / server:
lsof -i :9000 | grep minio• linux / server:
ps aux | grep miniodisclosure
patch
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
La mitigation principale consiste à appliquer la correction disponible en RELEASE.2026-03-17T21-25-16Z. Avant de procéder à la mise à jour, il est crucial d'évaluer l'impact potentiel sur les applications existantes et de planifier une période de test. Si une mise à niveau directe n'est pas possible en raison de problèmes de compatibilité, envisagez de renforcer la sécurité de l'authentification OIDC en modifiant la configuration de MinIO pour exiger une validation plus stricte des tokens JWT. Implémentez des règles WAF (Web Application Firewall) ou des proxys inversés pour inspecter le trafic JWT et bloquer les tokens malformés. Surveillez les journaux d'accès et d'audit de MinIO pour détecter toute activité suspecte liée à l'authentification OIDC. Après la mise à jour, vérifiez la configuration de l'authentification OIDC et assurez-vous que les algorithmes de signature JWT sont correctement configurés.
Actualice MinIO a la versión RELEASE.2026-03-17T21-25-16Z o posterior. Esta actualización corrige la vulnerabilidad de confusión de algoritmos JWT en la autenticación OIDC.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33322 is a critical vulnerability in MinIO where an attacker with the OIDC ClientSecret can forge identity tokens, gaining unauthorized access to S3 credentials and potentially full data control.
If you are running MinIO versions prior to RELEASE.2026-03-17T21-25-16Z and use OpenID Connect authentication, you are potentially affected by this vulnerability.
Upgrade to MinIO version RELEASE.2026-03-17T21-25-16Z or later to remediate the vulnerability. Consider rotating the OIDC ClientSecret as a temporary mitigation.
While no confirmed exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation suggest a potential for future attacks.
Refer to the official MinIO security advisory for detailed information and updates regarding CVE-2026-33322: [https://docs.min.io/minio/minio-security-advisories](https://docs.min.io/minio/minio-security-advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.