Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-13411

Опубликовано: 16 окт. 2025
Источник: fstec
CVSS3: 8.1
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость сервера хранения объектов MinIO связана с недостатками механизма авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Вендор

ООО «Ред Софт»
MinIO Inc

Наименование ПО

РЕД ОС
MinIO

Версия ПО

7.3 (РЕД ОС)
до RELEASE.2025-10-15T17-29-55Z (MinIO)

Тип ПО

Операционная система
ПО для разработки ИИ

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,1)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для MinIO:
https://github.com/minio/minio/security/advisories/GHSA-jjjj-jwhf-8rgr
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 4%
0.00018
Низкий

8.1 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20251113-04

CVSS3: 8.1
redos
2 месяца назад

Уязвимость minio

redos логотип

ROS-20251113-03

CVSS3: 8.1
redos
2 месяца назад

Уязвимость minio-client

nvd логотип

CVE-2025-62506

CVSS3: 8.1
nvd
3 месяца назад

MinIO is a high-performance object storage system. In all versions prior to RELEASE.2025-10-15T17-29-55Z, a privilege escalation vulnerability allows service accounts and STS (Security Token Service) accounts with restricted session policies to bypass their inline policy restrictions when performing operations on their own account, specifically when creating new service accounts for the same user. The vulnerability exists in the IAM policy validation logic where the code incorrectly relied on the DenyOnly argument when validating session policies for restricted accounts. When a session policy is present, the system should validate that the action is allowed by the session policy, not just that it is not denied. An attacker with valid credentials for a restricted service or STS account can create a new service account for itself without policy restrictions, resulting in a new service account with full parent privileges instead of being restricted by the inline policy. This allows the at

debian логотип

CVE-2025-62506

CVSS3: 8.1
debian
3 месяца назад

MinIO is a high-performance object storage system. In all versions pri ...

github логотип

GHSA-jjjj-jwhf-8rgr

CVSS3: 8.1
github
3 месяца назад

MinIO is Vulnerable to Privilege Escalation via Session Policy Bypass in Service Accounts and STS

EPSS

Процентиль: 4%
0.00018
Низкий

8.1 High

CVSS3

8.5 High

CVSS2