CVE-2023-28433

Опубликовано: 22 мар. 2023

Источник: nvd

CVSS3: 8.8

EPSS Низкий

Описание

Minio is a Multi-Cloud Object Storage framework. All users on Windows prior to version RELEASE.2023-03-20T20-16-18Z are impacted. MinIO fails to filter the \ character, which allows for arbitrary object placement across buckets. As a result, a user with low privileges, such as an access key, service account, or STS credential, which only has permission to PutObject in a specific bucket, can create an admin user. This issue is patched in RELEASE.2023-03-20T20-16-18Z. There are no known workarounds.

Ссылки

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:minio:minio:*:*:*:*:*:*:*:*

Версия до 2023-03-20t20-16-18z (исключая)

EPSS

Процентиль: 52%

0.00296

Низкий

8.8 High

CVSS3

Дефекты

CWE-668

NVD-CWE-noinfo

Связанные уязвимости

CVE-2023-28433

CVSS3: 8.8

debian

больше 2 лет назад

Minio is a Multi-Cloud Object Storage framework. All users on Windows ...

GHSA-w23q-4hw3-2pp6

CVSS3: 8.8

github

почти 2 года назад

Minio vulnerable to Privilege Escalation on Windows via Path separator manipulation

BDU:2023-07540

CVSS3: 8.8

fstec

больше 2 лет назад

Уязвимость сервера хранения объектов MinIO, связанная с недостатками контроля доступа, позволяющая нарушителю создать пользователя с правами администратора

ROS-20240807-05

CVSS3: 8.8

redos

11 месяцев назад

Множественные уязвимости minio

EPSS

Процентиль: 52%

0.00296

Низкий

8.8 High

CVSS3

Дефекты

CWE-668

NVD-CWE-noinfo