CVE-2026-40344 in MinIOالمعلومات

الملخص

بحسب VulDB • 16/05/2026

MinIO هو نظام تخزين كائنات عالي الأداء. بدءاً من الإصدار RELEASE.2023-05-18T00-05-36Z وما قبل RELEASE.2026-04-11T03-20-12Z، تتيح ثغرة تجاوز المصادقة في معالج الاستخراج التلقائي لـ Snowball الخاص بـ MinIO (`PutObjectExtractHandler`) لأي مستخدم يعرف مفتاح وصول صالح كتابة كائنات عشوائية إلى أي دلو (bucket) دون معرفة المفتاح السري أو تقديم توقيع تشفيري صالح. تتأثر جميع عمليات نشر MinIO. يتطلب الهجوم فقط مفتاح وصول صالح (مثل القيمة الافتراضية المعروفة `minioadmin`، أو أي مفتاح لديه إذن WRITE على دلو) واسم الدلو المستهدف. عند إضافة دعم `authTypeStreamingUnsignedTrailer`، تم التعامل مع نوع المصادقة الجديد في `PutObjectHandler` و`PutObjectPartHandler` ولكن لم يتم إضافته أبداً إلى `PutObjectExtractHandler`. لا يحتوي كتلة `switch rAuthType` في معالج الاستخراج التلقائي لـ Snowball على حالة (case) لـ `authTypeStreamingUnsignedTrailer`، لذا يستمر التنفيذ دون التحقق من التوقيع (صفر). تستخرج المكالمة `isPutActionAllowed` قبل كتلة التبديل مفتاح الوصول وتحقق من أذونات IAM، لكنها لا تتحقق من التوقيع التشفيري. يرسل المهاجم طلب PUT مع `X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER`، و`X-Amz-Meta-Snowball-Auto-Extract: true`، ورأس `Authorization` يحتوي على مفتاح وصول صالح مع توقيع مفبرك تماماً. يتم قبول الطلب واستخراج حمولة tar داخل الدلو. يجب على مستخدمي مشروع minio/minio مفتوح المصدر الترقية إلى MinIO AIStor RELEASE.2026-04-11T03-20-12Z أو أحدث. إذا لم يكن الترقية ممكنة فوراً، احجب طلبات unsigned-trailer عند موازن الحمل. ارفض أي طلب يحتوي على `X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER` عند طبقة وكيل العكس (reverse proxy) أو جدار الحماية لتطبيقات الويب (WAF). يمكن للعملاء استخدام `STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER` (النسخة الموقعة) بدلاً من ذلك. كبديل، قيد أذونات WRITE. حد من منح `s3:PutObject` للمبادئ الموثوقة فقط. وعلى الرغم من أن هذا يقلل من سطح الهجوم، إلا أنه لا يلغي الثغرة لأن أي مستخدم لديه إذن WRITE يمكنه استغلالها باستخدام مفتاح الوصول الخاص به فقط.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

11/04/2026

إفشاء

22/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-358609

EPSS

0.00159

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40344
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40344
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40344/

التالي نظرة عامة السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!