CVE-2026-41145 in MinIOinfo

Zusammenfassung

von VulDB • 15.05.2026

MinIO ist ein hochleistungsfähiges Objektspeichersystem. Ab der Version RELEASE.2023-05-18T00-05-36Z und vor RELEASE.2026-04-11T03-20-12Z ermöglicht eine Authentifizierungs-Umgehungsschwachstelle im `STREAMING-UNSIGNED-PAYLOAD-TRAILER`-Codepfad von MinIO jedem Benutzer, der einen gültigen Access Key kennt, das Schreiben beliebiger Objekte in beliebige Buckets, ohne den Secret Key zu kennen oder eine gültige kryptografische Signatur bereitzustellen. Jede MinIO-Bereitstellung ist betroffen. Der Angriff erfordert lediglich einen gültigen Access Key (den bekannten Standardwert `minioadmin` oder einen Schlüssel mit Lese-/Schreibberechtigung für ein Bucket) und einen Ziel-Bucket-Namen. `PutObjectHandler` und `PutObjectPartHandler` rufen `newUnsignedV4ChunkedReader` mit einer Signaturprüfungs-Schaltstelle auf, die ausschließlich auf das Vorhandensein des `Authorization`-Headers basiert. Gleichzeitig extrahiert `isPutActionAllowed` Anmeldeinformationen entweder aus dem `Authorization`-Header oder dem Query-Parameter `X-Amz-Credential` und vertraut dem gefundenen Wert. Ein Angreifer lässt das `Authorization`-Header-Feld weg und übermittelt Anmeldeinformationen ausschließlich über die Query-String. Die Signatur-Schaltstelle ergibt `false`, `doesSignatureMatch` wird niemals aufgerufen, und die Anfrage wird mit den Berechtigungen des imitierten Access Keys fortgesetzt. Dies betrifft `PutObjectHandler` (Standard- und Tabellen/Warehouse-Bucket-Pfade) und `PutObjectPartHandler` (Multipart-Uploads). Benutzer des Open-Source-Projekts `minio/minio` sollten auf MinIO AIStor `RELEASE.2026-04-11T03-20-12Z` oder höher aktualisieren. Wenn eine sofortige Aktualisierung nicht möglich ist, blockieren Sie Anfragen mit unsigned-trailer am Load Balancer. Lehnen Sie jede Anfrage ab, die `X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER` enthält, auf der Reverse-Proxy- oder WAF-Ebene. Clients können stattdessen `STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER` (die signierte Variante) verwenden. Alternativ können Sie die Lese-/Schreibberechtigungen einschränken. Beschränken Sie `s3:PutObject`-Zuteilungen auf vertrauenswürdige Principals. Obwohl dies die Angriffsfläche verringert, wird die Schwachstelle nicht beseitigt, da jeder Benutzer mit Lese-/Schreibberechtigung sie nur mit seinem Access Key ausnutzen kann.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

17.04.2026

Veröffentlichung

22.04.2026

Moderieren

akzeptiert

Eintrag

VDB-358610

CPE

bereit

CWE

CWE-287 (bestätigt)

CVSS

6.5 (VulDB)

EPSS

0.00132

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41145
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41145
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41145/

◂ Zurück Übersicht Weiter ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!