← volver
CVE-2023-28432

Minio Information Disclosure in Cluster Deployment

CVSS 7.5 HIGHEPSS 84.0%● KEVCWE-200
En resumen

MinIO en modo cluster estaba filtrando variables de entorno sensibles, incluyendo claves secretas y contraseñas root. Esto permite que los atacantes obtengan acceso completo al sistema de almacenamiento.

Detalle técnico

Vulnerabilidad de divulgación de información en implementaciones en cluster de MinIO (RELEASE.2019-12-17T23-16-33Z hasta RELEASE.2023-03-20T20-16-18Z), donde variables de entorno que contienen credenciales (MINIO_SECRET_KEY, MINIO_ROOT_PASSWORD) se exponen sin controles de acceso adecuados. La explotación requiere acceso de red a los puntos finales de MinIO.

Resumen generado y traducido por IA a partir de la descripción oficial.
Minio is a Multi-Cloud Object Storage framework. In a cluster deployment starting with RELEASE.2019-12-17T23-16-33Z and prior to RELEASE.2023-03-20T20-16-18Z, MinIO returns all environment variables, including `MINIO_SECRET_KEY` and `MINIO_ROOT_PASSWORD`, resulting in information disclosure. All users of distributed deployment are impacted. All users are advised to upgrade to RELEASE.2023-03-20T20-16-18Z.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
minio · minio
PoCs públicas encontradas17
githubgithub.com/MzzdToT/CVE-2023-2843237githubgithub.com/Mr-xn/CVE-2023-2843234githubgithub.com/acheiii/CVE-2023-2843215githubgithub.com/Chocapikk/CVE-2023-2843211githubgithub.com/gobysec/CVE-2023-2843210githubgithub.com/Cuerz/CVE-2023-2843210githubgithub.com/Okaytc/minio_unauth_check7githubgithub.com/yTxZx/CVE-2023-284323githubgithub.com/BitWiz4rd/CVE-2023-284322githubgithub.com/steponeerror/Cve-2023-28432-2githubgithub.com/unam4/CVE-2023-28432-minio_update_rce1githubgithub.com/C1ph3rX13/CVE-2023-284321githubgithub.com/LHXHL/Minio-CVE-2023-284321githubgithub.com/TaroballzChen/CVE-2023-28432-metasploit-scanner1githubgithub.com/h0ng10/CVE-2023-28432_docker0githubgithub.com/NET-Flowers/CVE-2023-284320githubgithub.com/CHINA-china/MinIO_CVE-2023-28432_EXP0
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Zhttps://github.com/minio/minio/security/advisories/GHSA-6xvq-wj2x-3h3qhttps://twitter.com/Andrew___Morris/status/1639325397241278464https://viz.greynoise.io/tag/minio-information-disclosure-attempthttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-28432https://www.greynoise.io/blog/openai-minio-and-why-you-should-always-use-docker-cli-scan-to-keep-your-supply-chain-clean