一、基本情况

MinIO是一个开源的、云原生的对象存储服务。它的设计目标是为云原生应用程序提供高性能、高可用性、可扩展性和安全性的对象存储。

二、漏洞描述

当MinIO为集群模式配置时，未经身份验证的攻击者通过构造特制请求包，最终可获取所有环境变量信息，攻击者可利用其中的MINIO_SECRET_KEY与MINIO_ROOT_PASSWORD以管理员身份登录后台。
三、影响范围

2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z

四、修复建议

目前官方已发布新版本修复此漏洞，建议受影响的用户及时安装防护：

https://github.com/minio/minio/releases/tag/RELEASE.2023-03-20T20-16-18Z

五、参考链接

http://www.hackdig.com/03/hack-949871.htm