CVE-2024-24747

Опубликовано: 31 янв. 2024

Источник: nvd

CVSS3: 8.8

EPSS Средний

Описание

MinIO is a High Performance Object Storage. When someone creates an access key, it inherits the permissions of the parent key. Not only for s3:* actions, but also admin:* actions. Which means unless somewhere above in the access-key hierarchy, the admin rights are denied, access keys will be able to simply override their own s3 permissions to something more permissive. The vulnerability is fixed in RELEASE.2024-01-31T20-20-33Z.

Ссылки

https://github.com/minio/minio/commit/0ae4915a9391ef4b3ec80f5fcdcf24ee6884e776
Patch
https://github.com/minio/minio/releases/tag/RELEASE.2024-01-31T20-20-33Z
Patch
Release Notes
https://github.com/minio/minio/security/advisories/GHSA-xx8w-mq23-29g4
Exploit
Patch
Vendor Advisory
https://github.com/minio/minio/commit/0ae4915a9391ef4b3ec80f5fcdcf24ee6884e776
Patch
https://github.com/minio/minio/releases/tag/RELEASE.2024-01-31T20-20-33Z
Patch
Release Notes
https://github.com/minio/minio/security/advisories/GHSA-xx8w-mq23-29g4
Exploit
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:minio:minio:2024-01-31t20-20-33z:*:*:*:*:*:*:*

EPSS

Процентиль: 96%

0.24934

Средний

8.8 High

CVSS3

Дефекты

CWE-269

Связанные уязвимости

CVE-2024-24747

CVSS3: 8.8

debian

больше 1 года назад

MinIO is a High Performance Object Storage. When someone creates an ac ...

GHSA-xx8w-mq23-29g4

CVSS3: 8.8

github

больше 1 года назад

Minio unsafe default: Access keys inherit `admin` of root user, allowing privilege escalation

BDU:2024-01131

CVSS3: 8.8

fstec

больше 1 года назад

Уязвимость сервера хранения объектов MinIO, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии

ROS-20240410-19

CVSS3: 8.8

redos

больше 1 года назад

Уязвимость minio

EPSS

Процентиль: 96%

0.24934

Средний

8.8 High

CVSS3

Дефекты

CWE-269