MinIO には、未署名トレーラーのアップロードにおける署名検証の欠落により、認証なしでオブジェクトを書き込める脆弱性があります

この脆弱性は、MinIOのセキュリティを著しく損ないます。攻撃者は、有効なアクセスキー（デフォルトのminioadminや、バケットに対する書き込み権限を持つ任意のキー）とターゲットバケット名のみを知っていれば、認証なしで任意のオブジェクトをバケットに書き込むことができます。これにより、機密データの改ざん、悪意のあるコードのアップロード、システムへの不正アクセスなど、広範囲にわたる攻撃につながる可能性があります。特に、機密データを保存するバケットや、重要なアプリケーションで使用されるオブジェクトが影響を受けると、甚大な被害が発生する可能性があります。この脆弱性は、Log4Shellのような認証バイパスのパターンに類似しており、迅速な対応が必要です。

Organizations utilizing MinIO for object storage, particularly those using the default minioadmin access key or those with overly permissive access key configurations, are at significant risk. Shared hosting environments where multiple users share access keys are especially vulnerable. Legacy MinIO deployments that have not been regularly updated are also at increased risk.

• linux / server:

journalctl -u minio -g 'signature verification failed'

• generic web:

curl -I <minio_endpoint>/<bucket_name>/<object_name>  # Check for unexpected response codes or headers indicating unauthorized access

• linux / server:

lsof -i :9000 | grep minio # Check for MinIO processes listening on the default port

1. 2026-04-22Disclosure

   disclosure

2. 2026-04-11Patch

   patch

1. 予約済み2026-04-10
2. 公開日2026-04-22
3. EPSS 更新日2026-04-29

この脆弱性への対応策として、まず、影響を受けるバージョンのMinIOを、2026年4月11日にリリースされた修正バージョンにアップグレードすることを強く推奨します。アップグレードが困難な場合は、一時的な回避策として、WAF（Web Application Firewall）やリバースプロキシを設定し、署名検証を強制するルールを実装することを検討してください。また、アクセスキーの管理を厳格化し、不要なアクセスキーを削除し、強力なパスワードポリシーを適用することも重要です。MinIOのアクセスログを監視し、異常な書き込みアクティビティを検知するためのアラートを設定することも有効です。アップグレード後、MinIOのバージョンを確認し、署名検証が正しく機能していることを確認してください。