MEDIUMCVE-2026-41145

MinIO には、Unsigned-Trailer アップロードにおける Query-String 認証情報署名バイパスによる認証バイパスの脆弱性があります

Q: CVE-2026-41145 — 認証バイパスはMinIOで何ですか？

CVE-2026-41145は、MinIOの`STREAMING-UNSIGNED-PAYLOAD-TRAILER`コードパスにおける認証バイパス脆弱性です。有効なアクセスキーがあれば、シグネチャなしで任意のバケットにオブジェクトを書き込めます。

Q: CVE-2026-41145はMinIOで影響を受けますか？

はい、2023年5月18日以降～2026年4月11日未満のバージョンが影響を受けます。MinIOのバージョンを確認し、必要に応じてアップグレードしてください。

Q: CVE-2026-41145はMinIOでどのように修正しますか？

MinIOを2026年4月11日以降の修正バージョンにアップグレードしてください。アップグレードが困難な場合は、アクセスキーのローテーションやWAFの導入を検討してください。

Q: CVE-2026-41145は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、認証バイパスの特性上、悪用される可能性は否定できません。最新の脅威動向を常に監視してください。

Q: CVE-2026-41145に関するMinIOの公式アドバイザリはどこで入手できますか？

MinIOの公式アドバイザリは、MinIOのウェブサイトまたはセキュリティアナウンスメントをご確認ください。

プラットフォーム

コンポーネント

minio

修正版

2023.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-41145は、MinIOのSTREAMING-UNSIGNED-PAYLOAD-TRAILERコードパスにおける認証バイパス脆弱性です。攻撃者は有効なアクセスキーとターゲットバケット名のみを使用して、シグネチャなしで任意のバケットにオブジェクトを書き込むことが可能です。影響を受けるバージョンは、2023年5月18日以降～2026年4月11日未満です。2026年4月11日に修正バージョンがリリースされました。

影響と攻撃シナリオ

この脆弱性は、攻撃者がMinIOクラスタ内の任意のバケットに不正にデータを書き込むことを可能にします。これにより、機密データの改ざん、悪意のあるコードのアップロード、またはシステムへのバックドアの作成といった攻撃につながる可能性があります。攻撃者は、既存のアクセスキーを悪用することで、認証を回避し、MinIOストレージへの完全なアクセス権を得ることができ、データ漏洩やサービス停止のリスクを高めます。特に、デフォルトのminioadminアクセスキーが使用されている環境では、攻撃の影響が拡大する可能性があります。

悪用の状況

本脆弱性は、2026年4月22日に公開されました。現時点では、KEV（Known Exploited Vulnerabilities）に登録されていません。公的なPoC（Proof of Concept）は確認されていませんが、認証バイパスの特性上、悪用される可能性は否定できません。NVD（National Vulnerability Database）およびCISA（Cybersecurity and Infrastructure Security Agency）の情報を定期的に確認し、最新の脅威動向を把握することが重要です。

リスク対象者翻訳中…

Organizations utilizing MinIO for object storage, particularly those using the default minioadmin access key or those with overly permissive access controls, are at significant risk. Shared hosting environments where multiple users share MinIO buckets are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.

検出手順翻訳中…

• linux / server:

journalctl -u minio -g 'STREAMING-UNSIGNED-PAYLOAD-TRAILER'

• generic web:

curl -I https://<minio_endpoint>/<bucket_name>/<object_name> -H "X-Minio-Access-Key: <valid_access_key>" -H "X-Minio-Signature: "

• linux / server:

lsof -i :9000 | grep minio

攻撃タイムライン

2026-04-22Disclosure
disclosure
2026-04-11Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.12% (31% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントminio

ベンダーminio

影響範囲修正版

>= RELEASE.2023-05-18T00-05-36Z, < RELEASE.2026-04-11T03-20-12Z – >= RELEASE.2023-05-18T00-05-36Z, < RELEASE.2026-04-11T03-20-12Z2023.0.1

0.0.0-20230506025312-76913a9fd5c6 – 0.0.0-20260212201848-7aac2a2c5b7c—

弱点分類 (CWE)

CWE-287

タイムライン

予約済み2026-04-17
公開日2026-04-22
EPSS 更新日2026-04-29

緩和策と回避策

この脆弱性への対応策として、まず、影響を受けるバージョンのMinIOを2026年4月11日以降の修正バージョンにアップグレードすることが最も重要です。アップグレードが困難な場合は、アクセスキーのローテーションを実施し、不要なアクセスキーを削除してください。また、WAF（Web Application Firewall）やプロキシサーバーを使用して、不正なリクエストをブロックするルールを実装することも有効です。MinIOのアクセス制御リスト（ACL）を適切に設定し、最小限の権限のみを付与するようにしてください。アップグレード後、MinIOのログを監視し、異常なアクセスパターンがないか確認することで、攻撃の兆候を早期に発見できます。

修正方法

MinIO AIStor RELEASE.2026-04-11T03-20-12Z 以降にアップデートしてください。即時アップデートが不可能な場合は、ロードバランサーまたは WAF で unsigned-trailer リクエストをブロックするか、ユーザーへの書き込み権限を制限してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-41145 — 認証バイパスはMinIOで何ですか？

CVE-2026-41145は、MinIOのSTREAMING-UNSIGNED-PAYLOAD-TRAILERコードパスにおける認証バイパス脆弱性です。有効なアクセスキーがあれば、シグネチャなしで任意のバケットにオブジェクトを書き込めます。

CVE-2026-41145はMinIOで影響を受けますか？