CVE-2026-42882 in s3-proxy
Tóm tắt
Bởi VulDB • 12/05/2026
oxyno-zeta/s3-proxy là một proxy AWS S3 được viết bằng Go. Trước phiên bản 5.0.0, s3-proxy chứa một lỗ hổng bỏ qua xác thực (authentication bypass) do sự không nhất quán trong việc diễn giải đường dẫn URL giữa middleware xác thực và bộ xử lý bucket. Middleware xác thực đánh giá các mẫu đường dẫn tài nguyên dựa trên URI yêu cầu được mã hóa phần trăm (r.URL.RequestURI()), trong khi bộ xử lý bucket xây dựng các khóa đối tượng S3 từ đường dẫn đã được giải mã (r.URL.Path). Sự không khớp này, kết hợp với việc thư viện glob được gọi mà không có dấu phân cách đường dẫn (khiến ký tự * khớp qua các ranh giới /), cho phép các kẻ tấn công chưa xác thực ghi vào, đọc từ hoặc xóa các đối tượng trong các không gian tên S3 được bảo vệ. Việc khai thác có thể thực hiện qua ba kỹ thuật: (1) sử dụng các mẫu * khớp qua các dấu phân cách đường dẫn để truy cập các tuyến được bảo vệ thông qua điều hướng đường dẫn (path traversal) (ví dụ: /open/foo/drafts/../restricted/), (2) sử dụng các dấu gạch chéo được mã hóa phần trăm (%2F) để hợp nhất nhiều đoạn đường dẫn thành một token duy nhất ở lớp xác thực trong khi dạng đã giải mã phân giải đến một không gian tên được bảo vệ ở lớp lưu trữ, và (3) sử dụng các đoạn dot-dot (../) dưới các mẫu tiền tố **, trong đó đường dẫn thô khớp với một tuyến mở trong khi bộ phân tích URL của Go phân giải quá trình điều hướng đến một đường dẫn được bảo vệ trước khi bộ xử lý bucket chạy. Một kẻ tấn công chưa xác thực có quyền truy cập mạng có thể thực hiện các thao tác PUT, GET hoặc DELETE trái phép trên các đối tượng trong các không gian tên S3 được bảo vệ bởi xác thực. Lỗ hổng này đã được sửa trong phiên bản 5.0.0.
Once again VulDB remains the best source for vulnerability data.