प्लेटफ़ॉर्म
go
घटक
minio
में ठीक किया गया
2023.0.1
CVE-2026-41145 MinIO में एक प्रमाणीकरण बाईपास भेद्यता है, जो किसी भी उपयोगकर्ता को वैध एक्सेस कुंजी के साथ किसी भी बकेट में मनमाना ऑब्जेक्ट लिखने की अनुमति देता है, बिना गुप्त कुंजी जाने या वैध क्रिप्टोग्राफिक हस्ताक्षर प्रदान किए। यह भेद्यता MinIO के STREAMING-UNSIGNED-PAYLOAD-TRAILER कोड पथ में मौजूद है। प्रभावित संस्करण 2023-05-18T00-05-36Z से लेकर 2026-04-11T03-20-12Z से पहले के संस्करण हैं। इस समस्या को ठीक करने के लिए, MinIO को 2026-04-11T03-20-12Z या बाद के संस्करण में अपडेट करें।
यह भेद्यता MinIO उपयोगकर्ताओं के लिए गंभीर जोखिम पैदा करती है क्योंकि यह हमलावरों को किसी भी बकेट में मनमाना डेटा लिखने की अनुमति देती है, बशर्ते उनके पास वैध एक्सेस कुंजी हो। यह डेटा चोरी, डेटा भ्रष्टाचार या सिस्टम में दुर्भावनापूर्ण कोड के इंजेक्शन का कारण बन सकता है। हमलावर मौजूदा डेटा को अधिलेखित कर सकते हैं, नए फ़ाइलें बना सकते हैं या मौजूदा फ़ाइलों को संशोधित कर सकते हैं, जिससे डेटा की अखंडता और उपलब्धता से समझौता हो सकता है। चूंकि भेद्यता को केवल एक्सेस कुंजी की आवश्यकता होती है, इसलिए इसका शोषण करना अपेक्षाकृत आसान है, खासकर यदि डिफ़ॉल्ट minioadmin कुंजी का उपयोग किया जा रहा है या यदि किसी बकेट पर WRITE अनुमति वाली कुंजी का उपयोग किया जा रहा है। यह भेद्यता MinIO के उपयोग पर निर्भर करने वाले अनुप्रयोगों और सेवाओं के लिए व्यापक प्रभाव डाल सकती है।
CVE-2026-41145 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की गंभीरता और शोषण की सापेक्ष सरलता को देखते हुए, भविष्य में इसका शोषण होने की संभावना है। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका जल्द ही शोषण हो सकता है। NVD और CISA ने इस CVE के लिए प्रकाशन की तारीख 2026-04-22 है।
Organizations utilizing MinIO for object storage, particularly those using the default minioadmin access key or those with overly permissive access controls, are at significant risk. Shared hosting environments where multiple users share MinIO buckets are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.
• linux / server:
journalctl -u minio -g 'STREAMING-UNSIGNED-PAYLOAD-TRAILER'• generic web:
curl -I https://<minio_endpoint>/<bucket_name>/<object_name> -H "X-Minio-Access-Key: <valid_access_key>" -H "X-Minio-Signature: "• linux / server:
lsof -i :9000 | grep miniodisclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.12% (31% शतमक)
CISA SSVC
CVE-2026-41145 को कम करने के लिए, MinIO को तुरंत 2026-04-11T03-20-12Z या बाद के संस्करण में अपडेट करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी उपाय के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके अनधिकृत एक्सेस को रोकने के लिए नियमों को कॉन्फ़िगर कर सकते हैं। यह सुनिश्चित करें कि एक्सेस कुंजियों को सुरक्षित रूप से प्रबंधित किया जाए और डिफ़ॉल्ट कुंजियों का उपयोग न किया जाए। बकेट-स्तरीय अनुमतियों को न्यूनतम आवश्यक स्तर तक सीमित करें। नियमित रूप से MinIO लॉग की निगरानी करें ताकि किसी भी असामान्य गतिविधि का पता लगाया जा सके। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, यह सुनिश्चित करने के लिए कि कोई अनधिकृत ऑब्जेक्ट लेखन नहीं हो रहा है।
MinIO AIStor RELEASE.2026-04-11T03-20-12Z या बाद में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो लोड बैलेंसर या WAF में unsigned-trailer अनुरोधों को ब्लॉक करें, या उपयोगकर्ताओं को लिखने की अनुमति को प्रतिबंधित करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-41145 MinIO में एक भेद्यता है जो हमलावरों को वैध एक्सेस कुंजी के साथ किसी भी बकेट में मनमाना ऑब्जेक्ट लिखने की अनुमति देती है, बिना गुप्त कुंजी जाने या हस्ताक्षर प्रदान किए।
यदि आप MinIO के संस्करण 2023-05-18T00-05-36Z से 2026-04-11T03-20-12Z से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
MinIO को 2026-04-11T03-20-12Z या बाद के संस्करण में अपडेट करें। यदि अपग्रेड करना संभव नहीं है, तो WAF नियमों का उपयोग करें और एक्सेस कुंजियों को सुरक्षित रूप से प्रबंधित करें।
CVE-2026-41145 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भविष्य में इसका शोषण होने की संभावना है।
कृपया MinIO सुरक्षा सलाहकारिका देखें: [https://min.io/security/advisories/](https://min.io/security/advisories/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।