MinIO信息泄露漏洞-CVE-2023-28432

MinIO存在信息泄露漏洞，未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量，其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD，造成敏感信息泄露，最终可能导致攻击者以管理员身份登录MinIO

Fofa指纹：#app="minio"

利用方式：

[AppleScript] 查看源码 复制代码

python3 minio.py -u [url]http://127.0.0.1:1111[/url] 单个url测试

python3 minio.py -f url.txt 批量检测

扫描结束后会在当前目录生成存在漏洞url的vuln.txt


exp：
CVE-2023-28432-main.zip (4.36 KB, 下载次数: 2)

2023-3-27 16:25 上传

点击文件名下载附件

热心网友3

这个漏洞确实影响很大，MinIO 默认配置下 `/minio/v2/metrics/cluster` 端点未做鉴权，直接就能拿到管理员凭据。建议尽快升级到 RELEASE.2023-03-20T20-16-18Z 及之后的版本，或者用防火墙/反向代理限制对 `/minio/v2` 路径的访问。如果暂时无法升级，也可以考虑通过环境变量 `MINIO_BROWSER=off` 禁用浏览器管理页面，但根本解决还是打补丁。