基于Apache License v2.0开源协议,用于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等。近日,新华三盾山实验室监测到MinIO官方发布了安全公告,修复了一个存在于MinIO中的信息泄露漏洞(CVE-2023-28432),该漏洞会导致敏感信息泄露。 1.2漏洞详情 由于MinIO 存在信息泄露漏洞,当MinIO在...
近日瑞数安全实验室RiversecLab监测发现MinIO官方发布了MinIO未授权信息泄露漏洞(CVE-2023-28432)安全风险修复通告。在集群模式中,MinIO的某些接口会因为信息处理不当而返回会返回所有环境变量,包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,导致敏感信息泄露。使用分布式部署的所有用户都会受到影响。目前POC与漏洞细节已公...
0x02 漏洞概述 漏洞编号:CVE-2023-28432在集群模式中,MinIO的某些接口会因为信息处理不当而返回会返回所有环境变量,包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,导致敏感信息泄露。使用分布式部署的所有用户都会受到影响。 0x03 影响版本 RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z...
当然还有其他版本批量检测POCCVE-2023-28432 nuclei templateshttps://github.com/MzzdToT/CVE-2023-28432/blob/main/minio.py 检测效果; 在这里插入图片描述 手动检测: 在这里插入图片描述 在这里插入图片描述 Burp手动测试的时候记得改POST发包 使用Goby红队版可以直接检测该漏洞 参考...
近日,绿盟科技CERT监测发现MinIO官方发布安全通告,修复了一个MinIO信息泄露漏洞(CVE-2023-28432)。当MinIO为集群模式配置时,未经身份验证的攻击者通过构造特制请求包,最终可获取所有环境变量信息,攻击者可利用其中的MINIO_SECRET_KEY与MINIO_ROOT_PASSWORD以管理员身份登录后台。CVSS评分为7.5,目前漏洞细节已被公开披露,请...
MinIO集群模式信息泄露漏洞 CVE-2023-28432 1.漏洞描述&环境搭建 MinIO是一个开源对象存储系统。 在其RELEASE.2023-03-20T20-16-18Z版本(不含)以前,集群模式部署下存在一处信息泄露漏洞,攻击者可以通过发送一个POST数据包获取进程所有的环境变量,其中就包含账号密码MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD。
近日,奇安信CERT监测到MinIO 信息泄露漏洞(CVE-2023-28432),在集群部署的MinIO中,未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量,其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,造成敏感信息泄露,最终可能导致攻击者以管理员身份登录MinIO。鉴于该漏洞利用简单,影响较大,建议客户尽快升级到安全版本。
MinIO,一个开源云原生对象存储服务,官方发布安全通告,修复了信息泄露漏洞(CVE-2023-28432)。当集群模式下,未经身份验证的攻击者可通过构造特制请求包获取所有环境变量信息,进而利用MINIO_SECRET_KEY与MINIO_ROOT_PASSWORD登录后台,危害严重。CVSS评分为7.5,漏洞细节已公开,受影响用户需紧急防护。MinIO...
cd /vulhub-master/minio/CVE-2023-28432/ docker-compose up -d 启动完成后访问http://your-ip:9001为集群的web管理页面,另外http://your-ip:9000为集群的API接口。 0x01 触发漏洞 这个漏洞的节点存在于这个路径:http://your-ip:9000/minio/bootstrap/v1/verify对该路径发送POST请求会返回一段JSON数据: {...
CVE-2023-28432 MiniO信息泄露漏洞 MinIO 是一个基于 Apache License v2.0 开源协议的对象存储服务。它兼容亚马逊 S3 云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等 在集群部署的 Minio 中,未授权的攻击者可发送恶意的 HTTP 请求来获取 Minio 环境变量...