anonhaven

CVE-2026-34204

HIGH CVSS 4.0: 7,1 EPSS 0.03%
Обновлено 7 апреля 2026
Minio
Параметр Значение
CVSS 7,1 (HIGH)
Уязвимые версии до 2026-03-26t21-24-40z
Устранено в версии 2026-03-26t21-24-40z
Тип уязвимости CWE-287 (Неправильная аутентификация)
Поставщик Minio
Публичный эксплойт Нет

MinIO — высокопроизводительная объектная система хранения данных. До версии RELEASE.2026-03-26T21-24-40Z недостаток в ExtractMetadataFromMime() позволял любому аутентифицированному пользователю с разрешением s3:PutObject внедрять метаданные внутреннего шифрования на стороне сервера в объекты, отправляя созданные заголовки X-Minio-Replication-* в обычном запросе PutObject. Эта проблема исправлена ​​в версии RELEASE.2026-03-26T21-24-40Z.

Показать оригинальное описание (EN)

MinIO is a high-performance object storage system. Prior to version RELEASE.2026-03-26T21-24-40Z, a flaw in extractMetadataFromMime() allows any authenticated user with s3:PutObject permission to inject internal server-side encryption metadata into objects by sending crafted X-Minio-Replication-* headers on a normal PutObject request. This issue has been patched in version RELEASE.2026-03-26T21-24-40Z.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-287 Improper Authentication (Неправильная аутентификация)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Minio Minio
cpe:2.3:a:minio:minio:*:*:*:*:*:*:*:*
 2026-03-26t21-24-40z

Ссылки 1

https://github.com/minio/minio/security/advisories/GHSA-3rh2-v3gr-35p9
security-advisories@github.com
Share Post Share Share Share