Platform
go
Component
minio
Opgelost in
2023.0.1
CVE-2026-40344 beschrijft twee authenticatie bypass kwetsbaarheden in MinIO's STREAMING-UNSIGNED-PAYLOAD-TRAILER code pad. Deze kwetsbaarheden stellen een aanvaller in staat om willekeurige objecten naar elke bucket te schrijven, zelfs zonder de geheime sleutel te kennen of een geldige cryptografische handtekening te verstrekken. De kwetsbaarheid beïnvloedt MinIO versies tussen RELEASE.2023-05-18T00-05-36Z en RELEASE.2026-04-11T03-20-12Z. Een fix is beschikbaar in versie 2026-04-11 of hoger.
Deze kwetsbaarheden hebben een significante impact op MinIO-implementaties. Een aanvaller die een geldige toegangs sleutel bezit (bijvoorbeeld de standaard minioadmin sleutel, of een sleutel met schrijfrechten op een bucket) kan objecten naar willekeurige buckets schrijven, zonder de geheime sleutel te kennen. Dit kan leiden tot data-integriteit schendingen, ongeautoriseerde toegang tot gevoelige informatie en mogelijk tot het compromitteren van de gehele MinIO-omgeving. De kwetsbaarheid is vergelijkbaar met scenario's waarbij een aanvaller ongeautoriseerde toegang krijgt tot een opslagomgeving door misbruik van toegangsrechten. De blast radius is groot, aangezien elke MinIO-implementatie die de genoemde versies gebruikt, kwetsbaar is.
Er is geen informatie beschikbaar over actieve exploitatiecampagnes of KEV-status voor deze CVE. Er zijn publieke proof-of-concept exploits beschikbaar, wat de potentiële impact vergroot. De CVE is gepubliceerd op 2026-04-22.
Organizations utilizing MinIO for object storage, particularly those using the default minioadmin access key or those with overly permissive access key configurations, are at significant risk. Shared hosting environments where multiple users share access keys are especially vulnerable. Legacy MinIO deployments that have not been regularly updated are also at increased risk.
• linux / server:
journalctl -u minio -g 'signature verification failed'• generic web:
curl -I <minio_endpoint>/<bucket_name>/<object_name> # Check for unexpected response codes or headers indicating unauthorized access• linux / server:
lsof -i :9000 | grep minio # Check for MinIO processes listening on the default portdisclosure
patch
Exploit Status
EPSS
0.15% (35% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden van MinIO naar versie 2026-04-11 of hoger, waar de kwetsbaarheid is verholpen. Indien een upgrade direct niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegangsrechten van de minioadmin sleutel of het implementeren van een Web Application Firewall (WAF) om verdachte verzoeken te blokkeren. Controleer de MinIO-configuratie op onnodige toegangsrechten en implementeer strikte toegangscontroles. Na de upgrade, bevestig de fix door te proberen een object naar een bucket te schrijven met een toegangs sleutel die geen schrijfrechten zou moeten hebben. Dit zou moeten mislukken.
Actualiseer naar MinIO AIStor RELEASE.2026-04-11T03-20-12Z of later. Indien een update niet direct mogelijk is, blokkeer dan de niet-ondertekende trailer verzoeken in de load balancer of reverse proxy, of beperk de schrijfrechten.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-40344 is an authentication bypass vulnerability in MinIO allowing unauthorized object writes with a valid access key, impacting versions 2023-05-18T00-05-36Z and prior to 2026-04-11T03-20-12Z.
If you are running MinIO versions between 2023-05-18T00-05-36Z and 2026-04-11T03-20-12Z, you are potentially affected by this vulnerability.
Upgrade MinIO to version 2026-04-11T03-20-12Z or later to remediate the vulnerability. Assess upgrade impact beforehand.
There is currently no confirmed active exploitation, but the vulnerability's simplicity suggests a potential for exploitation.
Refer to the official MinIO security advisory for detailed information and updates: [https://docs.min.io/docs/security-advisories/](https://docs.min.io/docs/security-advisories/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.