CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-33322

Critical
Published: Translated: NVD NIST

Summary

MinIO to system przechowywania obiektów o wysokiej wydajności. W wersjach od RELEASE.2022-11-08T05-27-07Z do przed RELEASE.2026-03-17T21-25-16Z występuje podatność związana z myleniem algorytmu JWT w uwierzytelnianiu OpenID Connect, która pozwala atakującemu, znającemu OIDC ClientSecret, na fałszowanie dowolnych tokenów tożsamości i uzyskanie poświadczeń S3 z dowolną polityką, w tym consoleAdmin.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym uzyskanie nieautoryzowanego dostępu do zasobów S3, co może prowadzić do utraty danych lub naruszenia bezpieczeństwa.

Recommendation

Zaleca się aktualizację MinIO do wersji RELEASE.2026-03-17T21-25-16Z lub nowszej, aby usunąć tę podatność oraz monitorowanie dostępu do OIDC ClientSecret.

Original NVD description (English source)

MinIO is a high-performance object storage system. From RELEASE.2022-11-08T05-27-07Z to before RELEASE.2026-03-17T21-25-16Z, a JWT algorithm confusion vulnerability in MinIO's OpenID Connect authentication allows an attacker who knows the OIDC ClientSecret to forge arbitrary identity tokens and obtain S3 credentials with any policy, including consoleAdmin. This issue has been patched in RELEASE.2026-03-17T21-25-16Z.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS