Plataforma
go
Componente
minio
Corrigido em
2023.0.1
Uma vulnerabilidade de bypass de autenticação foi descoberta no MinIO, permitindo que atacantes escrevam objetos arbitrários em buckets sem a necessidade de uma chave secreta válida. Essa falha reside no código STREAMING-UNSIGNED-PAYLOAD-TRAILER. As versões afetadas são aquelas entre 2023-05-18 e 2026-04-11. A correção foi lançada em 2026-04-11.
A vulnerabilidade de bypass de autenticação no MinIO representa um risco significativo para a segurança dos dados armazenados. Um atacante com acesso a uma chave de acesso válida (como a padrão minioadmin ou uma chave com permissões de escrita em um bucket) pode explorar essa falha para inserir dados maliciosos, substituir arquivos existentes ou até mesmo comprometer a integridade do sistema de armazenamento. A ausência da necessidade de uma chave secreta simplifica significativamente o processo de exploração, tornando-o acessível a um público mais amplo de atacantes. O impacto potencial é a perda de confidencialidade, integridade e disponibilidade dos dados armazenados no MinIO.
A vulnerabilidade foi divulgada em 2026-04-22. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. A probabilidade de exploração é considerada média, devido à relativa facilidade de exploração e ao impacto potencial. A ausência de um exploit público conhecido não diminui a importância de aplicar a correção.
Organizations utilizing MinIO for object storage, particularly those using the default minioadmin access key or those with overly permissive access controls, are at significant risk. Shared hosting environments where multiple users share MinIO buckets are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.
• linux / server:
journalctl -u minio -g 'STREAMING-UNSIGNED-PAYLOAD-TRAILER'• generic web:
curl -I https://<minio_endpoint>/<bucket_name>/<object_name> -H "X-Minio-Access-Key: <valid_access_key>" -H "X-Minio-Signature: "• linux / server:
lsof -i :9000 | grep miniodisclosure
patch
Status do Exploit
EPSS
0.12% (percentil 31%)
CISA SSVC
A mitigação primária para esta vulnerabilidade é atualizar o MinIO para a versão corrigida, 2026-04-11 ou superior. Se a atualização imediata não for possível, considere restringir o acesso à chave minioadmin e revogar quaisquer chaves com permissões de escrita desnecessárias. Implementar regras de firewall para limitar o acesso ao MinIO apenas a fontes confiáveis pode ajudar a reduzir a superfície de ataque. Monitore os logs do MinIO em busca de atividades suspeitas, como tentativas de escrita não autorizadas. Após a atualização, confirme a correção verificando se as tentativas de escrita sem a chave secreta são bloqueadas.
Atualize a MinIO AIStor RELEASE.2026-04-11T03-20-12Z ou posterior. Se a atualização não for possível imediatamente, bloqueie as solicitações unsigned-trailer no balanceador de carga ou WAF, ou restrinja as permissões de escrita aos usuários.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-41145 is an authentication bypass vulnerability in MinIO allowing attackers with a valid access key to write arbitrary objects to any bucket without a signature.
You are affected if you are running MinIO versions between 2023-05-18T00-05-36Z (inclusive) and 2026-04-11T03-20-12Z (exclusive).
Upgrade MinIO to version 2026-04-11T03-20-12Z or later. Review release notes and test the upgrade before deploying to production.
While no public exploits are currently known, the vulnerability's simplicity suggests exploitation is likely.
Refer to the official MinIO security advisory for CVE-2026-41145 on the MinIO website.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.