MinIO信息泄露漏洞-CVE-2023-28432

阅读模式 · 发表于 2023-3-27 16:25:43

MinIO存在信息泄露漏洞，未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量，其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD，造成敏感信息泄露，最终可能导致攻击者以管理员身份登录MinIO

Fofa指纹：#app="minio"

利用方式：

[AppleScript] 查看源码 复制代码

python3 minio.py -u [url]http://127.0.0.1:1111[/url] 单个url测试

python3 minio.py -f url.txt 批量检测

扫描结束后会在当前目录生成存在漏洞url的vuln.txt
exp 16.24.43.png

exp：

CVE-2023-28432-main.zip (4.36 KB, 下载次数: 2)