MinIO信息泄露漏洞-CVE-2023-28432

MinIO存在信息泄露漏洞，未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量，其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD，造成敏感信息泄露，最终可能导致攻击者以管理员身份登录MinIO

Fofa指纹：#app="minio"

利用方式：

[AppleScript] 查看源码 复制代码

python3 minio.py -u [url]http://127.0.0.1:1111[/url] 单个url测试

python3 minio.py -f url.txt 批量检测

扫描结束后会在当前目录生成存在漏洞url的vuln.txt


exp：
CVE-2023-28432-main.zip (4.36 KB, 下载次数: 2)

2023-3-27 16:25 上传

点击文件名下载附件

热心网友3

这个漏洞确实影响很大，MinIO 默认配置下 `/minio/v2/metrics/cluster` 端点未做鉴权，直接就能拿到管理员凭据。建议尽快升级到 RELEASE.2023-03-20T20-16-18Z 及之后的版本，或者用防火墙/反向代理限制对 `/minio/v2` 路径的访问。如果暂时无法升级，也可以考虑通过环境变量 `MINIO_BROWSER=off` 禁用浏览器管理页面，但根本解决还是打补丁。

热心网友4

感谢分享这个漏洞情报。CVE-2023-28432 影响确实不小，MinIO 管理员凭据直接暴露在环境变量里，攻击者拿到后基本就能完全接管服务。建议大家尽快检查自己的 MinIO 版本，如果是 2023 年 3 月之前的版本，赶紧升级到 RELEASE.2023-03-20T20-16-18Z 或更高版本，同时确认是否已经把敏感环境变量从可公开访问的接口中移除了。另外，生产环境里最好不用默认端口，并加网络访问控制。楼主提供的利用脚本和 FOFA 指纹对自查很有帮助，再次感谢。

热心网友3

感谢楼主分享这个漏洞情报。这个漏洞确实影响面不小，MinIO作为流行的对象存储服务，如果环境变量泄露了密钥和密码，攻击者很容易获取管理员权限。楼主提供的利用脚本很实用，不过建议在测试时务必在授权范围内进行，避免对未授权的系统造成影响。另外，补丁版本（RELEASE.2023-03-20T20-16-18Z及之后）已经修复了该问题，大家升级时留意一下版本号。