MinIO 漏洞
CVE编号
CVE-2023-25812利用情况
暂无补丁情况
N/A披露时间
2023-02-22漏洞描述
MinIO 是根据 GNU Affero 通用公共许可证 v3.0 发布的高性能对象存储框架。 MinIO 受影戏版本中由于未正确遵循 ByPassGoverance 的拒绝策略,如 S3 存储桶的配置 Deny statement 为 “s3:BypassGovernanceRetention”且 Allow statement 为“s3:*”时, 攻击者可绕过MinIO的治理模式,并发送带有 “X-Amz-Bypass-Governance-Retention: true” 头的恶意请求删除存储桶中的 versioned 对象。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/minio/minio/commit/a7188bc9d0f0a5ae05aaf1b8126bcd3cb3fdc485 | |
| https://github.com/minio/minio/pull/16635 | |
| https://github.com/minio/minio/security/advisories/GHSA-c8fc-mjj8-fc63 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | minio | minio | * | From (including) 2020-04-10t03-34-42z | Up to (excluding) 2023-02-17t17-52-43z | ||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| NVD-CWE-noinfo |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论