Platform
go
Component
minio
Opgelost in
2023.0.1
CVE-2026-41145 beschrijft een ernstige authenticatie bypass kwetsbaarheid in MinIO. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige objecten naar elke bucket te schrijven, zelfs zonder de geheime sleutel of een geldige cryptografische signatuur. De kwetsbaarheid treft MinIO-implementaties met versies tussen RELEASE.2023-05-18 en RELEASE.2026-04-11, en een fix is beschikbaar in versie 2026-04-11.
De impact van deze kwetsbaarheid is significant. Een aanvaller die een geldige access key bezit (bijvoorbeeld de standaard minioadmin key of een key met schrijfrechten op een bucket) kan ongeautoriseerd objecten naar elke bucket schrijven. Dit kan leiden tot data-integriteit schendingen, het overschrijven van kritieke bestanden, of het introduceren van kwaadaardige code. De blast radius is groot, aangezien elke MinIO-implementatie die binnen het getroffen versiesbereik valt, kwetsbaar is. Dit soort authenticatie bypassen kunnen leiden tot volledige controle over de dataopslag, vergelijkbaar met scenario's waarbij een aanvaller toegang krijgt tot een database zonder de juiste credentials.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve campagnes of KEV-listing op het moment van schrijven. Er zijn publieke proof-of-concept (POC) beschikbaar, wat de kans op exploitatie verhoogt. De kwetsbaarheid is gepubliceerd op 2026-04-22.
Organizations utilizing MinIO for object storage, particularly those using the default minioadmin access key or those with overly permissive access controls, are at significant risk. Shared hosting environments where multiple users share MinIO buckets are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.
• linux / server:
journalctl -u minio -g 'STREAMING-UNSIGNED-PAYLOAD-TRAILER'• generic web:
curl -I https://<minio_endpoint>/<bucket_name>/<object_name> -H "X-Minio-Access-Key: <valid_access_key>" -H "X-Minio-Signature: "• linux / server:
lsof -i :9000 | grep miniodisclosure
patch
Exploit Status
EPSS
0.12% (31% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden van MinIO naar versie 2026-04-11 of hoger. Indien een upgrade direct niet mogelijk is, overweeg dan het tijdelijk beperken van de rechten van de minioadmin key of andere keys met schrijfrechten. Implementeer een Web Application Firewall (WAF) om verdachte patronen te detecteren en te blokkeren die wijzen op een poging tot authenticatie bypass. Controleer de MinIO-logbestanden op ongebruikelijke activiteit, zoals het schrijven van objecten door gebruikers zonder de juiste credentials. Na de upgrade, verifieer de fix door te proberen een object naar een bucket te schrijven met een access key zonder de bijbehorende secret key. Het zou moeten mislukken.
Actualiseer naar MinIO AIStor RELEASE.2026-04-11T03-20-12Z of later. Indien een update niet direct mogelijk is, blokkeer dan unsigned-trailer verzoeken in de load balancer of WAF, of beperk de schrijfrechten voor gebruikers.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-41145 is an authentication bypass vulnerability in MinIO allowing attackers with a valid access key to write arbitrary objects to any bucket without a signature.
You are affected if you are running MinIO versions between 2023-05-18T00-05-36Z (inclusive) and 2026-04-11T03-20-12Z (exclusive).
Upgrade MinIO to version 2026-04-11T03-20-12Z or later. Review release notes and test the upgrade before deploying to production.
While no public exploits are currently known, the vulnerability's simplicity suggests exploitation is likely.
Refer to the official MinIO security advisory for CVE-2026-41145 on the MinIO website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.