2023年第3期

【预警类型】高危预警

【预警内容】MinIO信息泄露漏洞（CVE-2023-28432）

一、漏洞详情

MinIO是一个用Golang开发的基于Apache License v2.0开源协议的对象存储服务。

近日，监测到MinIO信息泄露漏洞(CVE-2023-28432)，在集群部署的MinIO中，未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量，其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD，造成敏感信息泄露，最终可能导致攻击者以管理员身份登录MinIO。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z

三、修复建议

目前官方已发布安全版本修复上述漏洞，建议受影响的用户升级至安全版本。

下载链接：https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z