MinIO 存在未认证对象写入漏洞，由于在未签名尾部上传中缺少签名验证

该漏洞的潜在影响非常严重。攻击者只需拥有一个有效的访问密钥（例如，默认的 minioadmin 密钥，或具有存储桶写入权限的任何密钥）和目标存储桶名称，即可利用此漏洞。攻击者可以利用此漏洞向存储桶写入任意数据，覆盖现有数据，甚至植入恶意文件。这可能导致数据泄露、数据篡改、服务中断，甚至可能被用于进一步的攻击，例如横向移动到其他系统。由于 MinIO 广泛应用于云存储和数据管理，因此该漏洞的潜在影响范围非常广，可能影响大量用户和组织。

Organizations utilizing MinIO for object storage, particularly those using the default minioadmin access key or those with overly permissive access key configurations, are at significant risk. Shared hosting environments where multiple users share access keys are especially vulnerable. Legacy MinIO deployments that have not been regularly updated are also at increased risk.

• linux / server:

journalctl -u minio -g 'signature verification failed'

• generic web:

curl -I <minio_endpoint>/<bucket_name>/<object_name>  # Check for unexpected response codes or headers indicating unauthorized access

• linux / server:

lsof -i :9000 | grep minio # Check for MinIO processes listening on the default port

1. 2026-04-22Disclosure

   disclosure

2. 2026-04-11Patch

   patch

1. 已保留2026-04-10
2. 发布日期2026-04-22
3. EPSS 更新日期2026-04-29

为了减轻 CVE-2026-40344 的影响，最有效的措施是立即升级到已修复的版本 RELEASE.2026-04-11T03-20-12Z 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，审查并限制 MinIO 存储桶的访问权限，确保只有授权用户才能访问敏感数据。其次，禁用或限制 STREAMING-UNSIGNED-PAYLOAD-TRAILER 功能，如果此功能不是必需的。最后，实施严格的监控和日志记录，以便及时检测和响应任何可疑活动。升级后，请验证新版本是否已正确安装并已修复漏洞，可以通过尝试使用无效的签名写入存储桶来确认。