MinIO存在信息泄露漏洞，未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量

MinIO存在信息泄露漏洞，未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量
2023-3-25 14:28:46 Author: Ots安全(查看原文) 阅读量:34 收藏

点击蓝字，关注我们

MinIO存在信息泄露漏洞，未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量，其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD，造成敏感信息泄露，最终可能导致攻击者以管理员身份登录MinIO

工具利用

python3 minio.py -u http://127.0.0.1:1111

单个url测试 python3 minio.py -f url.txt 批量检测

扫描结束后会在当前目录生成存在漏洞url的vuln.txt

exp：

原文地址:https://github.com/MzzdToT/CVE-2023-28432

其它检测工具：https://github.com/Okaytc/minio_unauth_check

文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247497059&idx=1&sn=8c8ac71cd294c9018f56ac32c8c2b87d&chksm=9badbc28acda353ebbbafc9eb2b83346081864d81319900d77af6bdb33e3fa57957dfe60e18a#rd
如有侵权请联系:admin#unsafe.sh