Podatność w systemie przechowywania obiektów MinIO pozwala atakującemu, który zna wartość OIDC ClientSecret, na sfałszowanie dowolnych tokenów tożsamości JWT i uzyskanie poświadczeń S3 z dowolną polityką dostępu, włącznie z uprawnieniami administratora (consoleAdmin). Problem dotyczy szerokiego zakresu wersji wydanych na przestrzeni ponad trzech lat.
▸ Pokaż oryginał (EN)
MinIO is a high-performance object storage system. From RELEASE.2022-11-08T05-27-07Z to before RELEASE.2026-03-17T21-25-16Z, a JWT algorithm confusion vulnerability in MinIO's OpenID Connect authentication allows an attacker who knows the OIDC ClientSecret to forge arbitrary identity tokens and obtain S3 credentials with any policy, including consoleAdmin. This issue has been patched in RELEASE.2026-03-17T21-25-16Z.
Podatność (CWE-287) wynika z błędu w obsłudze algorytmów JWT (JWT algorithm confusion) w mechanizmie uwierzytelniania OpenID Connect (OIDC) w MinIO. Atakujący posiadający znajomość wartości OIDC ClientSecret może wykorzystać nieścisłość w weryfikacji algorytmu podpisu tokenu, aby spreparować własny token tożsamości akceptowany przez serwer jako prawidłowy. Sfałszowany token pozwala na pobranie poświadczeń S3 skojarzonych z dowolnie wybraną polityką dostępu.
Atakujący może uzyskać pełen dostęp administracyjny do instancji MinIO (rola consoleAdmin), co umożliwia odczyt, modyfikację i usunięcie przechowywanych danych obiektowych oraz przejęcie kontroli nad całą infrastrukturą składowania.
Należy zaktualizować MinIO do wersji RELEASE.2026-03-17T21-25-16Z lub nowszej, w której podatność została usunięta. Dodatkowo warto rozważyć rotację wartości OIDC ClientSecret jako działanie uzupełniające po aktualizacji.
MinIO w wersjach od RELEASE.2022-11-08T05-27-07Z do wersji poprzedzającej RELEASE.2026-03-17T21-25-16Z, przy włączonej integracji z OpenID Connect.
Podatność wymaga od atakującego uprzedniej znajomości wartości OIDC ClientSecret (warunek AT:P w wektorze CVSS), co nieznacznie ogranicza powierzchnię ataku, lecz nie eliminuje zagrożenia w przypadku wycieku tej wartości.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMinio
APPMinio2022-11-08t05-27-07z – 2026-03-17t21-25-16z (bez)
Powiązane podatności
MinIO AIStor: brute-force danych LDAP przez STS AssumeRoleWithLDAPIdentity
MinIO versions before RELEASE.2020-04-23T00-58-49Z have an authentication bypass issue in the MinIO admin API....
Minio is a Multi-Cloud Object Storage framework. Prior to RELEASE.2023-03-20T20-16-18Z, an attacker can use cr...
Minio is a Multi-Cloud Object Storage framework. In a cluster deployment starting with RELEASE.2019-12-17T23-1...
MinIO is a high-performance object storage system. Starting in RELEASE.2023-05-18T00-05-36Z and prior to RELEA...