Plateforme
go
Composant
github.com/minio/minio
Corrigé dans
2026.0.1
0.0.1
La vulnérabilité CVE-2026-33419 affecte MinIO, une solution de stockage objet, et permet une attaque par force brute sur l'authentification LDAP. Cette faille exploite une absence de limitation de débit lors de l'énumération des utilisateurs via LDAP, facilitant ainsi la découverte de noms d'utilisateur valides et l'accès non autorisé aux données stockées. Les versions de MinIO affectées sont celles inférieures ou égales à 0.0.0-20260212201848-7aac2a2c5b7c. Une correction a été déployée dans la version RELEASE.2026-03-17T21-25-16Z.
Un attaquant peut exploiter cette vulnérabilité pour effectuer une attaque par force brute sur l'authentification LDAP de MinIO. L'absence de limitation de débit lors de l'énumération des utilisateurs permet à l'attaquant de découvrir rapidement les noms d'utilisateur valides, ce qui facilite grandement la phase de cracking des mots de passe. Une fois l'authentification réussie, l'attaquant obtient un accès non autorisé aux données stockées dans MinIO, potentiellement sensibles. Le risque est aggravé si MinIO est utilisé pour stocker des informations confidentielles, telles que des données personnelles, des informations financières ou des secrets commerciaux. Cette vulnérabilité pourrait être exploitée dans le cadre d'une attaque plus large visant à compromettre l'ensemble de l'infrastructure informatique.
La vulnérabilité CVE-2026-33419 a été rendue publique le 20 mars 2026. Aucune information n'indique actuellement que cette vulnérabilité est activement exploitée dans la nature, mais la sévérité critique de la vulnérabilité et la facilité potentielle d'exploitation justifient une attention particulière. Il n'y a pas d'entrée dans le KEV (Known Exploited Vulnerabilities) à ce jour. Des preuves de concept (PoC) publiques pourraient émerger, augmentant le risque d'exploitation.
Organizations heavily reliant on MinIO for data storage, particularly those using LDAP authentication for user access, are at significant risk. Environments with weak LDAP password policies or those lacking network segmentation are especially vulnerable. Shared hosting environments utilizing MinIO also pose a heightened risk due to potential cross-tenant exposure.
• linux / server:
journalctl -u minio -g ldap | grep "invalid credentials"• generic web:
curl -I https://<minio_endpoint>/ | grep 'Server: MinIO' #Verify MinIO version• linux / server:
ps aux | grep minio | grep ldap #Check for LDAP connectionsdisclosure
patch
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
La mitigation principale consiste à mettre à jour MinIO vers la version RELEASE.2026-03-17T21-25-16Z ou une version ultérieure. En attendant la mise à jour, il est possible de mettre en place des mesures temporaires. Il est fortement recommandé de désactiver l'authentification LDAP si elle n'est pas essentielle. Si l'authentification LDAP est requise, configurez une limitation de débit stricte sur le serveur LDAP pour empêcher les tentatives d'énumération excessive. Surveillez attentivement les journaux d'accès de MinIO pour détecter les tentatives d'authentification suspectes. L'implémentation d'une solution WAF (Web Application Firewall) peut également aider à bloquer les requêtes malveillantes. Après la mise à jour, vérifiez la configuration de l'authentification LDAP et assurez-vous que la limitation de débit est correctement appliquée.
Actualice MinIO a la versión RELEASE.2026-03-17T21-25-16Z o posterior. Esta versión corrige la vulnerabilidad de fuerza bruta LDAP al implementar límites de velocidad y eliminar las respuestas de error distinguibles para la enumeración de usuarios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33419 is a critical vulnerability in MinIO that allows attackers to brute-force LDAP logins due to a missing rate limit, potentially granting unauthorized access to stored data.
You are affected if you are running MinIO versions prior to RELEASE.2026-03-17T21-25-16Z and are using LDAP authentication.
Upgrade MinIO to version RELEASE.2026-03-17T21-25-16Z or later. Consider temporary workarounds like restricting LDAP access and enabling MFA if immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's nature suggests a potential for exploitation, and proactive mitigation is recommended.
Refer to the official MinIO security advisory for detailed information and updates: [https://docs.min.io/minio/minio-security-advisories](https://docs.min.io/minio/minio-security-advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.