Platform
go
Component
github.com/minio/minio
Opgelost in
2026.0.1
0.0.1
CVE-2026-33419 is een kritieke kwetsbaarheid in MinIO, een object storage server. Deze kwetsbaarheid maakt brute-force aanvallen op LDAP logins mogelijk door gebruikers te enumereren en geen rate limiting toe te passen. De kwetsbaarheid treft versies van MinIO tot en met 0.0.0-20260212201848-7aac2a2c5b7c. Een patch is beschikbaar in RELEASE.2026-03-17T21-25-16Z.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om de gebruikersnamen in de LDAP directory te achterhalen en vervolgens wachtwoorden te kraken door brute-force aanvallen uit te voeren. Dit kan leiden tot ongeautoriseerde toegang tot object storage data, potentieel gevoelige informatie blootleggen en zelfs de controle over de MinIO server overnemen. De impact is aanzienlijk, aangezien object storage vaak wordt gebruikt voor het opslaan van kritieke data en configuratiebestanden. Het ontbreken van rate limiting vergemakkelijkt de brute-force pogingen aanzienlijk, waardoor de kans op succesvolle exploitatie toeneemt.
Deze kwetsbaarheid is openbaar bekend en de publicatie van de CVE (2026-03-20) betekent dat exploitatie mogelijk is. Er is geen informatie beschikbaar over actieve campagnes, maar de CRITICAL severity en de relatieve eenvoud van de exploitatie maken het waarschijnlijk dat deze kwetsbaarheid in de toekomst zal worden misbruikt. De EPSS score is waarschijnlijk hoog, gezien de impact en de beschikbaarheid van de informatie.
Organizations heavily reliant on MinIO for data storage, particularly those using LDAP authentication for user access, are at significant risk. Environments with weak LDAP password policies or those lacking network segmentation are especially vulnerable. Shared hosting environments utilizing MinIO also pose a heightened risk due to potential cross-tenant exposure.
• linux / server:
journalctl -u minio -g ldap | grep "invalid credentials"• generic web:
curl -I https://<minio_endpoint>/ | grep 'Server: MinIO' #Verify MinIO version• linux / server:
ps aux | grep minio | grep ldap #Check for LDAP connectionsdisclosure
patch
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden naar de patch release RELEASE.2026-03-17T21-25-16Z of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) die LDAP login pogingen rate-limited. Configureer de MinIO server om sterke wachtwoordbeleid af te dwingen en multi-factor authenticatie (MFA) te gebruiken. Monitor de LDAP logs op verdachte activiteit, zoals een hoog aantal mislukte login pogingen vanuit hetzelfde IP-adres.
Actualice MinIO a la versión RELEASE.2026-03-17T21-25-16Z o posterior. Esta versión corrige la vulnerabilidad de fuerza bruta LDAP al implementar límites de velocidad y eliminar las respuestas de error distinguibles para la enumeración de usuarios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33419 is a critical vulnerability in MinIO that allows attackers to brute-force LDAP logins due to a missing rate limit, potentially granting unauthorized access to stored data.
You are affected if you are running MinIO versions prior to RELEASE.2026-03-17T21-25-16Z and are using LDAP authentication.
Upgrade MinIO to version RELEASE.2026-03-17T21-25-16Z or later. Consider temporary workarounds like restricting LDAP access and enabling MFA if immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's nature suggests a potential for exploitation, and proactive mitigation is recommended.
Refer to the official MinIO security advisory for detailed information and updates: [https://docs.min.io/minio/minio-security-advisories](https://docs.min.io/minio/minio-security-advisories)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.