【安全资讯】CVE-2024-55949:严重的MinIO漏洞允许任何用户获得完全管理员权限
概要:
近期发现的MinIO漏洞(CVE-2024-55949)可能导致任何用户提升至管理员权限,给数据安全带来重大风险。该漏洞的CVSS评分为9.3,存在于IAM导入API中,攻击者可利用此缺陷进行权限提升。主要内容:
CVE-2024-55949漏洞的根本原因在于缺失的权限检查,攻击者通过构造恶意的iam-info.zip文件并使用mc admin cluster iam import命令上传,便可修改自身用户权限,从而获得完全的管理员控制权。这一漏洞影响自2022年6月23日以来发布的所有MinIO版本,所有用户均可能受到影响。MinIO用户被强烈建议立即更新至修复版本(RELEASE.2024-12-13T22-19-12Z),因为目前尚无已知的解决方法。值得注意的是,MinIO并非首次面临安全挑战,2023年曾出现两起严重漏洞(CVE-2023-28432和CVE-2023-28434),攻击者利用这些漏洞获取敏感数据和执行任意代码。
CVE-2024-55949的权限提升风险显著,且没有可用的解决方法。鉴于MinIO系统在现代数据工作负载中的关键作用,及时修补漏洞至关重要。若延误处理,组织可能面临严重的数据泄露和安全风险。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享