MinIO 在 OIDC 认证中存在 JWT 算法混淆漏洞

该漏洞的影响极其严重，攻击者如果能够获取 MinIO 的 OIDC ClientSecret，就可以完全控制 MinIO 部署。攻击者可以伪造任意用户身份，获取具有任何 IAM 策略的 S3 凭证，包括 consoleAdmin 权限。这意味着攻击者可以访问、修改、删除存储在 MinIO 中的任何数据，甚至可以控制 MinIO 管理控制台。由于攻击是确定性的，攻击者成功率极高，无需考虑任何竞态条件。该漏洞类似于其他身份验证绕过漏洞，可能导致数据泄露、数据篡改和系统完全被控制。

Organizations utilizing MinIO for object storage, particularly those relying on OpenID Connect for authentication, are at risk. Deployments with weak OIDC ClientSecret storage practices or those using shared hosting environments where the ClientSecret might be inadvertently exposed are especially vulnerable. Legacy MinIO configurations that haven't been regularly updated are also at increased risk.

• linux / server:

journalctl -u minio -g 'oidc token'

• generic web:

curl -I <minio_endpoint>/ -H 'Authorization: Bearer <potentially forged token>'

• linux / server:

lsof -i :9000 | grep minio

• linux / server:

ps aux | grep minio

1. 2026-03-19Disclosure

   disclosure

2. 2026-03-17Patch

   patch

1. 已保留2026-03-18
2. 发布日期2026-03-19
3. 修改日期2026-03-27
4. EPSS 更新日期2026-04-01

为了缓解 CVE-2026-33322 的风险，首要措施是立即升级至 MinIO RELEASE.2026-03-17T21-25-16Z 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，严格保护 OIDC ClientSecret，确保其存储安全，避免泄露。其次，实施更严格的访问控制策略，限制用户对 S3 资源的访问权限。最后，监控 MinIO 日志，检测异常身份验证活动，例如频繁的身份验证失败或来自未知 IP 地址的身份验证请求。升级后，请验证身份验证机制是否正常工作，确认漏洞已成功修复。