Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-09079

Опубликовано: 22 апр. 2025
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость службы аутентификации IAM для Kubernetes MinIO Operator STS связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и раскрыть защищаемую информацию

Вендор

MinIO Inc

Наименование ПО

MiniO Operator

Версия ПО

до 7.1.0 (MiniO Operator)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,3)
Средний уровень опасности (оценка CVSS 4.0 составляет 6,9)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/advisories/GHSA-7m6v-q233-q9j9

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 31%
0.00114
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-32963

nvd
4 месяца назад

MinIO Operator STS is a native IAM Authentication for Kubernetes. Prior to version 7.1.0, if no audiences are provided for the `spec.audiences` field, the default will be of the Kubernetes apiserver. Without scoping, it can be replayed to other internal systems, which may unintentionally trust it. This issue has been patched in version 7.1.0.

github логотип

GHSA-7m6v-q233-q9j9

github
4 месяца назад

Minio Operator uses Kubernetes apiserver audience for AssumeRoleWithWebIdentity STS

EPSS

Процентиль: 31%
0.00114
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2