Katalog CVE

CVE-2026-33322

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

MinIO to system przechowywania obiektów o wysokiej wydajności. W wersjach od RELEASE.2022-11-08T05-27-07Z do przed RELEASE.2026-03-17T21-25-16Z występuje podatność związana z myleniem algorytmu JWT w uwierzytelnianiu OpenID Connect, która pozwala atakującemu, znającemu OIDC ClientSecret, na fałszowanie dowolnych tokenów tożsamości i uzyskanie poświadczeń S3 z dowolną polityką, w tym consoleAdmin.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym uzyskanie nieautoryzowanego dostępu do zasobów S3, co może prowadzić do utraty danych lub naruszenia bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację MinIO do wersji RELEASE.2026-03-17T21-25-16Z lub nowszej, aby usunąć tę podatność oraz monitorowanie dostępu do OIDC ClientSecret.

Oryginalny opis (angielski, źródło NVD)

MinIO is a high-performance object storage system. From RELEASE.2022-11-08T05-27-07Z to before RELEASE.2026-03-17T21-25-16Z, a JWT algorithm confusion vulnerability in MinIO's OpenID Connect authentication allows an attacker who knows the OIDC ClientSecret to forge arbitrary identity tokens and obtain S3 credentials with any policy, including consoleAdmin. This issue has been patched in RELEASE.2026-03-17T21-25-16Z.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS