CISA hôm 19/9 đã bổ sung một lỗ hổng mới có mức nghiêm trọng cao trên MinIO vào danh mục các lỗi bảo mật bị khai thác trong thực tế. Lỗ hổng CVE-2023-28434 (CVSS 8.8) cho phép kẻ tấn công bỏ qua việc kiểm tra tên metadata bucket và chèn một đối tượng vào bất kỳ nhóm nào trong khi xử lý PostPolicyBucket.
MinIO là giải pháp lưu trữ đối tượng được sử dụng rộng rãi cho workload học máy, phân tích và dữ liệu ứng dụng do khả năng tương thích với dịch vụ lưu trữ đám mây Amazon S3.
Lỗ hổng CVE-2023-28434 có thể bị khai thác bởi những kẻ tấn công có thông tin đăng nhập với quyền arn:aws:s3:::* và đã bật quyền truy cập API Console. Lỗ hổng ảnh hưởng đến các phiên bản MinIO trước RELEASE.2023-03-20T20-16-18Z trên nền tảng Linux và MacOS.
Người dùng MinIO cần nâng cấp lên phiên bản mới nhất càng sớm càng tốt để giảm thiểu nguy cơ bị tấn công.
Nguồn: Security Online