【安全资讯】CVE-2024-55949:严重的MinIO漏洞允许任何用户获得完全管理员权限

安恒恒脑 2024-12-18 19:03:04 117人浏览

概要:

近期发现的MinIO漏洞(CVE-2024-55949)可能导致任何用户提升至管理员权限,给数据安全带来重大风险。该漏洞的CVSS评分为9.3,存在于IAM导入API中,攻击者可利用此缺陷进行权限提升。

主要内容:

CVE-2024-55949漏洞的根本原因在于缺失的权限检查,攻击者通过构造恶意的iam-info.zip文件并使用mc admin cluster iam import命令上传,便可修改自身用户权限,从而获得完全的管理员控制权。这一漏洞影响自2022年6月23日以来发布的所有MinIO版本,所有用户均可能受到影响。

MinIO用户被强烈建议立即更新至修复版本(RELEASE.2024-12-13T22-19-12Z),因为目前尚无已知的解决方法。值得注意的是,MinIO并非首次面临安全挑战,2023年曾出现两起严重漏洞(CVE-2023-28432和CVE-2023-28434),攻击者利用这些漏洞获取敏感数据和执行任意代码。

CVE-2024-55949的权限提升风险显著,且没有可用的解决方法。鉴于MinIO系统在现代数据工作负载中的关键作用,及时修补漏洞至关重要。若延误处理,组织可能面临严重的数据泄露和安全风险。
系统漏洞利用 数据泄露 科技公司 IT行业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。