CRITICAL🇬🇧 English

CVE-2026-33419

MinIO AIStor: brute-force danych LDAP przez STS AssumeRoleWithLDAPIdentity

CVSS 9.1v4.0pub. 2026-03-24upd. 2026-04-08

Endpoint AssumeRoleWithLDAPIdentity w usłudze STS systemu MinIO AIStor jest podatny na brute-force poświadczeń LDAP z powodu rozróżnialnych odpowiedzi błędów oraz braku ograniczenia liczby prób uwierzytelnienia. Nieuwierzytelniony atakujący sieciowy może wyliczyć prawidłowe nazwy użytkowników LDAP, a następnie bez ograniczeń zgadywać hasła, uzyskując dostęp do zasobów S3 ofiary.

Pokaż oryginał (EN)

MinIO is a high-performance object storage system. Prior to RELEASE.2026-03-17T21-25-16Z, MinIO AIStor's STS (Security Token Service) AssumeRoleWithLDAPIdentity endpoint is vulnerable to LDAP credential brute-forcing due to two combined weaknesses: (1) distinguishable error responses that enable username enumeration, and (2) absence of rate limiting on authentication attempts. An unauthenticated network attacker can enumerate valid LDAP usernames and then perform unlimited password guessing to obtain temporary AWS-style STS credentials, gaining access to the victim's S3 buckets and objects. This issue has been patched in RELEASE.2026-03-17T21-25-16Z.

🤖 Analiza AI
Jak działa

Podatność wynika z połączenia dwóch słabości (CWE-204 i CWE-307): endpoint STS zwraca różne komunikaty błędów w zależności od tego, czy podana nazwa użytkownika istnieje w katalogu LDAP, co umożliwia enumerację kont. Jednocześnie brak mechanizmu rate limiting pozwala atakującemu na nieograniczoną liczbę prób podania hasła do wyliczonych kont. W rezultacie atakujący może uzyskać tymczasowe poświadczenia STS w formacie AWS (tokeny sesyjne), które przyznają dostęp do zasobów S3.

Skutki

Atakujący może przejąć kontrolę nad kontami LDAP użytkowników systemu MinIO i uzyskać tymczasowe tokeny STS, co skutkuje nieautoryzowanym dostępem do zasobów S3 (bucketów i przechowywanych obiektów) ofiary.

Mitygacja

Należy zaktualizować MinIO AIStor do wersji RELEASE.2026-03-17T21-25-16Z lub nowszej, w której problem został usunięty. Dodatkowo zaleca się wdrożenie zewnętrznych mechanizmów ograniczania prób uwierzytelnienia (np. na poziomie firewall lub reverse proxy) jako dodatkowej warstwy ochrony.

Kogo dotyczy

MinIO AIStor we wszystkich wersjach wydanych przed RELEASE.2026-03-17T21-25-16Z

Uwagi

Podatność została zgłoszona i załatana przez producenta — szczegóły dostępne w security advisory na GitHub: GHSA-jv87-32hw-hh99. Patch opublikowano 17 marca 2026 r. (RELEASE.2026-03-17T21-25-16Z).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Minio

    APP
    Minio
    < 2026-03-17t21-25-16z
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-33322CRITICAL9.2PL ✓ten sam produkt

MinIO: JWT algorithm confusion umożliwia obejście uwierzytelnienia OIDC

CVE-2020-11012CRITICAL9.3ten sam produkt

MinIO versions before RELEASE.2020-04-23T00-58-49Z have an authentication bypass issue in the MinIO admin API....

CVE-2023-28434HIGH8.8⚠ KEVten sam produkt

Minio is a Multi-Cloud Object Storage framework. Prior to RELEASE.2023-03-20T20-16-18Z, an attacker can use cr...

CVE-2023-28432HIGH7.5⚠ KEVten sam produkt

Minio is a Multi-Cloud Object Storage framework. In a cluster deployment starting with RELEASE.2019-12-17T23-1...

CVE-2026-40344HIGH8.8ten sam produkt

MinIO is a high-performance object storage system. Starting in RELEASE.2023-05-18T00-05-36Z and prior to RELEA...