Platform
go
Component
github.com/minio/minio
Opgelost in
2022.0.1
0.0.1
CVE-2026-33322 beschrijft een ernstige JWT algorithm confusion kwetsbaarheid in MinIO, een object storage server. Deze kwetsbaarheid stelt een aanvaller in staat om identiteitstokens te vervalsen en S3 credentials te verkrijgen, waardoor ongeautoriseerde toegang tot data mogelijk is. De kwetsbaarheid treft versies van MinIO tot en met 0.0.0-20260212201848-7aac2a2c5b7c. Een fix is beschikbaar in RELEASE.2026-03-17T21-25-16Z.
Deze kwetsbaarheid is kritiek omdat een aanvaller met kennis van de OIDC ClientSecret in staat is om willekeurige identiteitstokens te vervalsen. Dit stelt de aanvaller in staat om S3 credentials te verkrijgen met elke IAM policy, inclusief consoleAdmin, wat volledige controle over de MinIO deployment mogelijk maakt. De aanvaller kan data benaderen, wijzigen of verwijderen, en potentieel toegang krijgen tot andere systemen binnen het netwerk via de S3 interface. De aanval is deterministisch, wat betekent dat deze met 100% zekerheid slaagt, zonder race conditions. Dit maakt het een zeer gevaarlijke kwetsbaarheid die onmiddellijke aandacht vereist.
De kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve campagnes of KEV-status bekend op het moment van publicatie. De ernst is beoordeeld als CRITICAL (CVSS score 9.5) vanwege de eenvoudige exploitatie en de potentieel verwoestende impact. De publicatie datum is 2026-03-19.
Organizations utilizing MinIO for object storage, particularly those relying on OpenID Connect for authentication, are at risk. Deployments with weak OIDC ClientSecret storage practices or those using shared hosting environments where the ClientSecret might be inadvertently exposed are especially vulnerable. Legacy MinIO configurations that haven't been regularly updated are also at increased risk.
• linux / server:
journalctl -u minio -g 'oidc token'• generic web:
curl -I <minio_endpoint>/ -H 'Authorization: Bearer <potentially forged token>'• linux / server:
lsof -i :9000 | grep minio• linux / server:
ps aux | grep miniodisclosure
patch
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden naar de gefixte versie RELEASE.2026-03-17T21-25-16Z of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan om de OIDC ClientSecret te roteren en de toegang tot deze secret te beperken. Implementeer een Web Application Firewall (WAF) of proxy die JWT tokens valideert en onverwachte algoritmen blokkeert. Controleer de configuratie van MinIO om er zeker van te zijn dat de OIDC authenticatie correct is ingesteld en dat de ClientSecret veilig wordt opgeslagen. Na de upgrade, bevestig de fix door een poging te doen om een identiteitstoken te vervalsen met een onjuist algoritme; dit zou moeten mislukken.
Actualice MinIO a la versión RELEASE.2026-03-17T21-25-16Z o posterior. Esta actualización corrige la vulnerabilidad de confusión de algoritmos JWT en la autenticación OIDC.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33322 is a critical vulnerability in MinIO where an attacker with the OIDC ClientSecret can forge identity tokens, gaining unauthorized access to S3 credentials and potentially full data control.
If you are running MinIO versions prior to RELEASE.2026-03-17T21-25-16Z and use OpenID Connect authentication, you are potentially affected by this vulnerability.
Upgrade to MinIO version RELEASE.2026-03-17T21-25-16Z or later to remediate the vulnerability. Consider rotating the OIDC ClientSecret as a temporary mitigation.
While no confirmed exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation suggest a potential for future attacks.
Refer to the official MinIO security advisory for detailed information and updates regarding CVE-2026-33322: [https://docs.min.io/minio/minio-security-advisories](https://docs.min.io/minio/minio-security-advisories)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.