CVE-2026-41145 是 MinIO 对象存储服务中发现的身份验证绕过漏洞。该漏洞允许攻击者在拥有有效访问密钥的情况下,无需提供密钥或签名,即可向任何存储桶写入任意对象,从而导致未经授权的数据篡改和潜在的系统入侵。此漏洞影响 MinIO 的 2023-05-18T00-05-36Z (含) 到 2026-04-11T03-20-12Z (不含) 版本。已发布安全补丁,建议尽快升级。
该漏洞的影响非常严重,因为它允许攻击者绕过 MinIO 的身份验证机制。攻击者只需要一个有效的访问密钥(例如默认的 minioadmin 密钥或具有存储桶写入权限的密钥)和目标存储桶名称即可利用此漏洞。攻击者可以利用此漏洞写入恶意文件、覆盖现有数据、甚至执行未经授权的代码。由于 MinIO 广泛应用于云存储和数据备份场景,因此该漏洞可能导致大规模的数据泄露和业务中断。攻击者可以利用此漏洞进行数据盗窃、勒索和破坏等恶意活动,对企业造成严重的经济损失和声誉损害。
目前尚无公开的漏洞利用代码,但由于漏洞的严重性和易利用性,预计未来可能会出现公开的利用方案。该漏洞已在 2026-04-22 公开披露。CISA 尚未将其添加到 KEV 目录,但由于其潜在影响,建议密切关注相关安全动态。建议持续监控 MinIO 的安全公告和漏洞报告,及时采取必要的安全措施。
Organizations utilizing MinIO for object storage, particularly those using the default minioadmin access key or those with overly permissive access controls, are at significant risk. Shared hosting environments where multiple users share MinIO buckets are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.
• linux / server:
journalctl -u minio -g 'STREAMING-UNSIGNED-PAYLOAD-TRAILER'• generic web:
curl -I https://<minio_endpoint>/<bucket_name>/<object_name> -H "X-Minio-Access-Key: <valid_access_key>" -H "X-Minio-Signature: "• linux / server:
lsof -i :9000 | grep miniodisclosure
patch
漏洞利用状态
EPSS
0.12% (31% 百分位)
CISA SSVC
为了缓解 CVE-2026-41145 的风险,建议立即升级到 2026-04-11T03-20-12Z 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,立即禁用或轮换所有具有写入权限的访问密钥,特别是默认的 minioadmin 密钥。其次,实施严格的存储桶访问控制策略,限制对敏感存储桶的访问权限。第三,使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求,并监控 MinIO 的访问日志,以检测异常活动。最后,定期审查 MinIO 的配置,确保其符合安全最佳实践。
升级到 MinIO AIStor RELEASE.2026-04-11T03-20-12Z 或更高版本。如果无法立即升级,请在负载均衡器或 WAF 中阻止 unsigned-trailer 请求,或限制用户的写入权限。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-41145 是 MinIO 对象存储服务中发现的身份验证绕过漏洞,允许攻击者在拥有有效访问密钥的情况下,无需提供密钥或签名,即可向任何存储桶写入任意对象。
如果您正在使用 MinIO 的 2023-05-18T00-05-36Z (含) 到 2026-04-11T03-20-12Z (不含) 版本,则可能受到此漏洞的影响。
建议立即升级到 2026-04-11T03-20-12Z 或更高版本。如果无法升级,请禁用或轮换访问密钥并实施严格的访问控制。
目前尚无公开的漏洞利用代码,但由于漏洞的严重性和易利用性,预计未来可能会出现公开的利用方案。
请访问 MinIO 的官方安全公告页面,以获取有关此漏洞的最新信息和修复指南。
上传你的 go.mod 文件,立即知道是否受影响。