Plateforme
go
Composant
minio
Corrigé dans
2023.0.1
CVE-2026-40344 décrit deux vulnérabilités de contournement d'authentification critiques découvertes dans MinIO, un stockage objet hautes performances. Ces failles permettent à un attaquant, possédant une clé d'accès valide, d'écrire des objets arbitraires dans n'importe quel bucket sans nécessiter la clé secrète ou une signature cryptographique valide. Les versions de MinIO affectées sont celles comprises entre RELEASE.2023-05-18 et RELEASE.2026-04-11, et une correction a été publiée en RELEASE.2026-04-11.
L'impact de ces vulnérabilités est significatif. Un attaquant peut exploiter ces failles pour compromettre l'intégrité des données stockées dans MinIO. L'attaquant n'a besoin que d'une clé d'accès valide (par exemple, la clé par défaut minioadmin ou une clé disposant des permissions d'écriture sur un bucket) et du nom du bucket cible. Il est possible d'injecter des fichiers malveillants, de modifier des données existantes ou même de remplacer des fichiers critiques. La simplicité de l'exploitation rend cette vulnérabilité particulièrement dangereuse. Le risque de compromission des données est élevé, et une exploitation réussie pourrait entraîner une perte de confidentialité, d'intégrité et de disponibilité des données.
Cette vulnérabilité a été rendue publique le 2026-04-22. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation et de la large base d'utilisateurs de MinIO. Des preuves de concept publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation. Il est important de surveiller les sources d'informations sur les menaces pour détecter toute activité malveillante.
Organizations utilizing MinIO for object storage, particularly those using the default minioadmin access key or those with overly permissive access key configurations, are at significant risk. Shared hosting environments where multiple users share access keys are especially vulnerable. Legacy MinIO deployments that have not been regularly updated are also at increased risk.
• linux / server:
journalctl -u minio -g 'signature verification failed'• generic web:
curl -I <minio_endpoint>/<bucket_name>/<object_name> # Check for unexpected response codes or headers indicating unauthorized access• linux / server:
lsof -i :9000 | grep minio # Check for MinIO processes listening on the default portdisclosure
patch
Statut de l'Exploit
EPSS
0.15% (percentile 35%)
CISA SSVC
La mitigation principale consiste à mettre à jour MinIO vers la version corrigée RELEASE.2026-04-11 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès aux buckets et de surveiller attentivement les journaux d'accès pour détecter toute activité suspecte. En attendant la mise à jour, envisagez de désactiver temporairement la fonctionnalité STREAMING-UNSIGNED-PAYLOAD-TRAILER si elle n'est pas essentielle. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue des requêtes PUT avec des signatures manquantes peut aider à la détection. Après la mise à jour, vérifiez l'intégrité des données et examinez les journaux pour détecter toute activité suspecte.
Mettez à jour vers MinIO AIStor RELEASE.2026-04-11T03-20-12Z ou version ultérieure. Si la mise à jour n'est pas possible immédiatement, bloquez les requêtes de remorque non signées sur l'équilibreur de charge ou le proxy inverse, ou restreignez les autorisations d'écriture.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-40344 is an authentication bypass vulnerability in MinIO allowing unauthorized object writes with a valid access key, impacting versions 2023-05-18T00-05-36Z and prior to 2026-04-11T03-20-12Z.
If you are running MinIO versions between 2023-05-18T00-05-36Z and 2026-04-11T03-20-12Z, you are potentially affected by this vulnerability.
Upgrade MinIO to version 2026-04-11T03-20-12Z or later to remediate the vulnerability. Assess upgrade impact beforehand.
There is currently no confirmed active exploitation, but the vulnerability's simplicity suggests a potential for exploitation.
Refer to the official MinIO security advisory for detailed information and updates: [https://docs.min.io/docs/security-advisories/](https://docs.min.io/docs/security-advisories/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.