MinIO 权限提升漏洞 (CVE-2024-24747)

漏洞类型 权限管理不当 发现时间 2024-02-01 漏洞等级 高危
MPS编号 MPS-80no-taj1 CVE编号 CVE-2024-24747 漏洞影响广度 广

漏洞危害

OSCS 描述
MinIO是一个高性能对象存储服务。
Minio中创建访问密钥时权限继承存在问题。创建新的访问密钥会继承其父密钥对s3:*和admin:*的操作权限,如果在访问密钥的权限中未明确拒绝admin权限,访问密钥则能够修改自身权限。攻击者可以利用该漏洞提升权限,访问所有部署区域。
参考链接:https://www.oscs1024.com/hd/MPS-80no-taj1

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
github.com/minio/minio (-∞, RELEASE.2024-01-31T20-20-33Z) 升级 将 github.com/minio/minio 升级至 RELEASE.2024-01-31T20-20-33Z 及以上版本
缓解措施 拒绝admin:UpdateServiceAccount服务帐户的权限规则
参考链接:https://www.oscs1024.com/hd/MPS-80no-taj1

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-80no-taj1

https://nvd.nist.gov/vuln/detail/CVE-2024-24747

https://github.com/minio/minio/commit/0ae4915a9391ef4b3ec80f5fcdcf24ee6884e776

https://github.com/minio/minio/security/advisories/GHSA-xx8w-mq23-29g4

(0)
上一篇 2024年2月1日 下午4:00
下一篇 2024年2月7日 下午12:00

相关推荐

  • OpenSSH <9.6 命令注入漏洞 (CVE-2023-51385)

    漏洞类型 OS命令注入 发现时间 2023-12-19 漏洞等级 高危 MPS编号 MPS-9rip-l1u7 CVE编号 CVE-2023-51385 漏洞影响广度 广 漏洞危害 OSCS 描述 OpenSSH 是使用 SSH 协议进行远程登录的连接工具。 在OpenSSH 9.6版本之前的ssh中,如果用户名或主机名中含有shell元字符(如 | &#8…

    2023年12月20日
    0
  • 泛微 e-cology <10.58.3 任意文件上传漏洞

    漏洞类型 任意文件上传 发现时间 2023/7/26 漏洞等级 严重 MPS编号 MPS-rkja-iwgs CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。泛微 e-cology 10.58.3之前版本存在任意文件上传漏洞,由于上传接口身份认证缺失,未经过身份验证的…

    2023年8月11日
    0
  • Apache Dubbo 反序列化漏洞 (CVE-2023-29234)

    漏洞类型 反序列化 发现时间 2023-12-15 漏洞等级 中危 MPS编号 MPS-2023-9469 CVE编号 CVE-2023-29234 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架。 受影响版本中,由于 ObjectInput.java 文件中 readThrowable …

    2023年12月18日
    0
  • Apache OFBiz Solr 存在未授权访问漏洞 (CVE-2023-46819)

    漏洞类型 关键功能的认证机制缺失 发现时间 2023-11-08 漏洞等级 中危 MPS编号 MPS-a5cl-euw1 CVE编号 CVE-2023-46819 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。Solr是一个搜索平台,它提供了许多功能,包括全文搜索、动态聚类、数据库集成等。(默认未安装该…

    2023年11月9日
    0
  • @koa/cors 存在同源验证不当漏洞 (CVE-2023-49803)

    漏洞类型 源验证错误 发现时间 2023-12-12 漏洞等级 高危 MPS编号 MPS-cwq7-e8rp CVE编号 CVE-2023-49803 漏洞影响广度 一般 漏洞危害 OSCS 描述 @koa/cors 是为 koa Web框架提供跨域资源共享(CORS)的中间件。 @koa/cors 5.0.0之前版本在处理请求时,如果没有提供允许的来源(a…

    2023年12月13日
    0