Plataforma
go
Componente
minio
Corrigido em
2023.0.1
Duas vulnerabilidades de bypass de autenticação foram descobertas no MinIO, especificamente no código relacionado ao STREAMING-UNSIGNED-PAYLOAD-TRAILER. Essas falhas permitem que atacantes, possuindo apenas uma chave de acesso válida (como a padrão minioadmin ou uma chave com permissão de escrita), escrevam dados arbitrários em qualquer bucket, sem a necessidade de fornecer a chave secreta ou uma assinatura criptográfica. As versões afetadas são aquelas entre RELEASE.2023-05-18T00-05-36Z e RELEASE.2026-04-11T03-20-12Z. Uma atualização para a versão corrigida (2026-04-11) é essencial.
O impacto dessas vulnerabilidades é significativo, pois qualquer implantação do MinIO está em risco. Um atacante com uma chave de acesso válida e o nome de um bucket alvo pode comprometer a integridade dos dados armazenados. A ausência da necessidade de uma chave secreta ou assinatura simplifica drasticamente o ataque, tornando-o acessível a um público mais amplo. A exploração bem-sucedida pode levar à corrupção de dados, inserção de conteúdo malicioso e, potencialmente, ao controle total do armazenamento de objetos. A vulnerabilidade se assemelha a cenários onde a validação de entrada é inadequada, permitindo a manipulação de dados e a contornar mecanismos de segurança.
A vulnerabilidade foi publicada em 2026-04-22. A existência de uma chave de acesso válida, mesmo a padrão, torna a exploração relativamente simples. Não há informações disponíveis sobre campanhas de exploração ativas ou a inclusão em catálogos como o KEV da CISA no momento da publicação. A ausência de um CVSS score indica que a severidade está pendente de avaliação.
Organizations utilizing MinIO for object storage, particularly those using the default minioadmin access key or those with overly permissive access key configurations, are at significant risk. Shared hosting environments where multiple users share access keys are especially vulnerable. Legacy MinIO deployments that have not been regularly updated are also at increased risk.
• linux / server:
journalctl -u minio -g 'signature verification failed'• generic web:
curl -I <minio_endpoint>/<bucket_name>/<object_name> # Check for unexpected response codes or headers indicating unauthorized access• linux / server:
lsof -i :9000 | grep minio # Check for MinIO processes listening on the default portdisclosure
patch
Status do Exploit
EPSS
0.15% (percentil 35%)
CISA SSVC
A mitigação primária é a atualização imediata para a versão corrigida do MinIO (2026-04-11). Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere as seguintes medidas temporárias: Revise e restrinja as permissões das chaves de acesso, garantindo que apenas usuários autorizados tenham permissão de escrita em buckets críticos. Implemente regras de firewall ou proxies reverso para restringir o acesso ao endpoint de upload de objetos. Monitore logs de acesso em busca de padrões suspeitos, como solicitações de escrita de objetos sem assinatura. Após a atualização, verifique a integridade dos dados e a configuração de segurança do MinIO para garantir que as vulnerabilidades foram efetivamente corrigidas.
Actualice a MinIO AIStor RELEASE.2026-04-11T03-20-12Z o posterior. Si la actualización no es posible de inmediato, bloquee las solicitudes de trailer no firmados en el balanceador de carga o proxy inverso, o restrinja los permisos de escritura.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-40344 is an authentication bypass vulnerability in MinIO allowing unauthorized object writes with a valid access key, impacting versions 2023-05-18T00-05-36Z and prior to 2026-04-11T03-20-12Z.
If you are running MinIO versions between 2023-05-18T00-05-36Z and 2026-04-11T03-20-12Z, you are potentially affected by this vulnerability.
Upgrade MinIO to version 2026-04-11T03-20-12Z or later to remediate the vulnerability. Assess upgrade impact beforehand.
There is currently no confirmed active exploitation, but the vulnerability's simplicity suggests a potential for exploitation.
Refer to the official MinIO security advisory for detailed information and updates: [https://docs.min.io/docs/security-advisories/](https://docs.min.io/docs/security-advisories/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.