प्लेटफ़ॉर्म
go
घटक
minio
में ठीक किया गया
2023.0.1
CVE-2026-40344 MinIO में दो प्रमाणीकरण बाईपास कमजोरियाँ हैं, जो किसी भी उपयोगकर्ता को वैध एक्सेस कुंजी के साथ किसी भी बकेट में बिना गुप्त कुंजी के या वैध क्रिप्टोग्राफिक हस्ताक्षर प्रदान किए मनमाना ऑब्जेक्ट लिखने की अनुमति देती हैं। यह कमजोरियाँ MinIO के STREAMING-UNSIGNED-PAYLOAD-TRAILER कोड पथ में मौजूद हैं। प्रभावित संस्करण 2023-05-18T00-05-36Z से लेकर 2026-04-11T03-20-12Z से पहले के संस्करण हैं। इस समस्या को 2026-04-11T03-20-12Z पर जारी किए गए संस्करण में ठीक किया गया है।
यह कमजोरियाँ MinIO डिप्लॉयमेंट के लिए गंभीर जोखिम पैदा करती हैं। एक हमलावर, केवल एक वैध एक्सेस कुंजी (जैसे डिफ़ॉल्ट minioadmin कुंजी या किसी बकेट पर WRITE अनुमति वाली कोई भी कुंजी) और एक लक्ष्य बकेट नाम के साथ, बिना किसी प्रमाणीकरण के बकेट में मनमाना डेटा लिख सकता है। इससे डेटा उल्लंघन, डेटा भ्रष्टाचार और सिस्टम की सुरक्षा से समझौता हो सकता है। हमलावर संवेदनशील जानकारी को ओवरराइट कर सकता है, दुर्भावनापूर्ण फ़ाइलें अपलोड कर सकता है, या सिस्टम को अन्य तरीकों से समझौता कर सकता है। यह कमजोरियों का शोषण लॉग4शेल शोषण पैटर्न के समान है, जहां एक हमलावर प्रमाणीकरण को बायपास करने के लिए एक ज्ञात कमजोरी का फायदा उठाता है।
CVE-2026-40344 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है। यह KEV (CISA Known Exploited Vulnerabilities) सूची में शामिल होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस कमजोरियों का फायदा उठाना आसान बना सकते हैं। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस कमजोरियों के बारे में जानकारी जारी की है।
Organizations utilizing MinIO for object storage, particularly those using the default minioadmin access key or those with overly permissive access key configurations, are at significant risk. Shared hosting environments where multiple users share access keys are especially vulnerable. Legacy MinIO deployments that have not been regularly updated are also at increased risk.
• linux / server:
journalctl -u minio -g 'signature verification failed'• generic web:
curl -I <minio_endpoint>/<bucket_name>/<object_name> # Check for unexpected response codes or headers indicating unauthorized access• linux / server:
lsof -i :9000 | grep minio # Check for MinIO processes listening on the default portdisclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.15% (35% शतमक)
CISA SSVC
CVE-2026-40344 के प्रभाव को कम करने के लिए, MinIO को तुरंत 2026-04-11T03-20-12Z या बाद के संस्करण में अपडेट करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके अनधिकृत एक्सेस को रोकने के लिए नियमों को कॉन्फ़िगर कर सकते हैं। इसके अतिरिक्त, सुनिश्चित करें कि एक्सेस कुंजियों को सुरक्षित रूप से प्रबंधित किया जाता है और डिफ़ॉल्ट कुंजियों का उपयोग नहीं किया जाता है। MinIO के लिए सुरक्षा ऑडिट और नियमित भेद्यता स्कैनिंग भी महत्वपूर्ण है। अपग्रेड के बाद, यह सत्यापित करें कि प्रमाणीकरण प्रक्रिया ठीक से काम कर रही है और अनधिकृत एक्सेस को रोका जा रहा है।
MinIO AIStor RELEASE.2026-04-11T03-20-12Z या बाद के संस्करण में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो लोड बैलेंसर या रिवर्स प्रॉक्सी पर अनसाइंड ट्रेलर अनुरोधों को ब्लॉक करें, या लेखन अनुमतियों को प्रतिबंधित करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-40344 MinIO में दो प्रमाणीकरण बाईपास कमजोरियाँ हैं जो हमलावरों को बिना गुप्त कुंजी के बकेट में मनमाना ऑब्जेक्ट लिखने की अनुमति देती हैं।
यदि आप MinIO के 2023-05-18T00-05-36Z और 2026-04-11T03-20-12Z से पहले के संस्करण चला रहे हैं, तो आप प्रभावित हैं।
MinIO को 2026-04-11T03-20-12Z या बाद के संस्करण में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF नियमों का उपयोग करें।
CVE-2026-40344 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण होने की संभावना है।
आप MinIO की वेबसाइट पर CVE-2026-40344 के लिए आधिकारिक सलाहकार पा सकते हैं: [https://docs.min.io/reference/security/advisories/CVE-2026-40344](https://docs.min.io/reference/security/advisories/CVE-2026-40344)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।