CVE-2023-28432
Minio Information Disclosure in Cluster Deployment
Em resumo
MinIO em modo cluster estava vazando variáveis de ambiente sensíveis, incluindo chaves secretas e senhas root. Isso permite que atacantes obtenham acesso completo ao sistema de armazenamento.
Detalhe técnico
Vulnerabilidade de divulgação de informações em implantações em cluster do MinIO (RELEASE.2019-12-17T23-16-33Z até RELEASE.2023-03-20T20-16-18Z), onde variáveis de ambiente contendo credenciais (MINIO_SECRET_KEY, MINIO_ROOT_PASSWORD) são expostas sem controles de acesso apropriados. A exploração requer acesso à rede dos endpoints do MinIO.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Minio is a Multi-Cloud Object Storage framework. In a cluster deployment starting with RELEASE.2019-12-17T23-16-33Z and prior to RELEASE.2023-03-20T20-16-18Z, MinIO returns all environment variables, including `MINIO_SECRET_KEY`
and `MINIO_ROOT_PASSWORD`, resulting in information disclosure. All users of distributed deployment are impacted. All users are advised to upgrade to RELEASE.2023-03-20T20-16-18Z.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
minio · minioPoCs públicas encontradas — 17
githubgithub.com/MzzdToT/CVE-2023-28432★ 37githubgithub.com/Mr-xn/CVE-2023-28432★ 34githubgithub.com/acheiii/CVE-2023-28432★ 15githubgithub.com/Chocapikk/CVE-2023-28432★ 11githubgithub.com/gobysec/CVE-2023-28432★ 10githubgithub.com/Cuerz/CVE-2023-28432★ 10githubgithub.com/Okaytc/minio_unauth_check★ 7githubgithub.com/yTxZx/CVE-2023-28432★ 3githubgithub.com/BitWiz4rd/CVE-2023-28432★ 2githubgithub.com/steponeerror/Cve-2023-28432-★ 2githubgithub.com/unam4/CVE-2023-28432-minio_update_rce★ 1githubgithub.com/C1ph3rX13/CVE-2023-28432★ 1githubgithub.com/LHXHL/Minio-CVE-2023-28432★ 1githubgithub.com/TaroballzChen/CVE-2023-28432-metasploit-scanner★ 1githubgithub.com/h0ng10/CVE-2023-28432_docker★ 0githubgithub.com/NET-Flowers/CVE-2023-28432★ 0githubgithub.com/CHINA-china/MinIO_CVE-2023-28432_EXP★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Zhttps://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3qhttps://twitter.com/Andrew___Morris/status/1639325397241278464https://viz.greynoise.io/tag/minio-information-disclosure-attempthttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-28432https://www.greynoise.io/blog/openai-minio-and-why-you-should-always-use-docker-cli-scan-to-keep-your-supply-chain-clean