CVE-2026-40344 in MinIO
요약
\~에 의해 VulDB • 2026. 05. 21.
MinIO는 고성능 오브젝트 스토리지 시스템입니다. RELEASE.2023-05-18T00-05-36Z부터 RELEASE.2026-04-11T03-20-12Z 이전 버전까지 MinIO의 Snowball 자동 추출 핸들러(`PutObjectExtractHandler`)에 인증 우회 취약점이 존재합니다. 이 취약점을 이용하면 유효한 액세스 키를 아는 사용자는 비밀 키를 알지 못하거나 유효한 암호화 서명을 제공하지 않더라도 모든 버킷에 임의의 오브젝트를 작성할 수 있습니다. 모든 MinIO 배포 환경이 영향을 받습니다. 공격에는 유효한 액세스 키(잘 알려진 기본값 `minioadmin` 또는 버킷에 WRITE 권한이 있는 모든 키)와 대상 버킷 이름만 필요합니다. `authTypeStreamingUnsignedTrailer` 지원이 추가될 때, 새로운 인증 유형은 `PutObjectHandler` 및 `PutObjectPartHandler`에서 처리되었지만 `PutObjectExtractHandler`에는 추가되지 않았습니다. Snowball 자동 추출 핸들러의 `switch rAuthType` 블록에는 `authTypeStreamingUnsignedTrailer`에 대한 case가 없으므로 실행이 서명 검증 없이 계속 진행됩니다. switch문 전의 `isPutActionAllowed` 호출은 액세스 키를 추출하고 IAM 권한을 확인하지만 암호화 서명은 검증하지 않습니다. 공격자는 `X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER`, `X-Amz-Meta-Snowball-Auto-Extract: true` 및 유효한 액세스 키를 포함하지만 완전히 위조된 서명을 가진 `Authorization` 헤더를 포함하는 PUT 요청을 보냅니다. 요청이 수락되고 tar 페이로드가 버킷으로 추출됩니다. 오픈 소스 minio/minio 프로젝트 사용자는 MinIO AIStor RELEASE.2026-04-11T03-20-12Z 이상으로 업그레이드해야 합니다. 즉시 업그레이드가 불가능한 경우 로드 밸런서에서 unsigned-trailer 요청을 차단하십시오. 리버스 프록시 또는 WAF 레이어에서 `X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER`를 포함하는 모든 요청을 거부하십시오. 클라이언트는 대신 `STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER`(서명된 변형)를 사용할 수 있습니다. 또는 WRITE 권한을 제한하십시오. s3:PutObject 부여를 신뢰할 수 있는プリン시팔로 제한하십시오. 이는 공격 표면을 줄이지만, WRITE 권한이 있는 모든 사용자는 자신의 액세스 키만으로 이를 악용할 수 있으므로 취약점을 완전히 제거하지는 않습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.