Šta se desilo?

Otkrivena je ozbiljna ranjivost u MinIO sistemu za skladištenje objekata koja omogućava napadačima da napišu proizvoljne datoteke u bazu podataka bez potrebe za tajnom šifrom. Ranjivost postoji u verzijama od maja 2023. do aprila 2026. i koristi propust u načinu verifikacije autentičnosti pri učitavanju podataka sa nepotkrepljenim završetkom.

Koga pogađa?

Sve MinIO instalacije koje koriste vulnerable verzije softvera. Rizik je posebno velik za sisteme sa podrazumevanom šifrom ili za bilo kojeg korisnika kojem su dodelena prava pisanja na baze podataka. Napadač treba samo da ima validan pristupni ključ - čak i javno poznat zadati ključ "minioadmin" - da bi izvršio napad.

Kako se zaštititi?

  • Hitno ažurirajte MinIO na verziju RELEASE.2026-04-11T03-20-12Z ili noviju
  • Na nivou load balansera blokirajte zahteve sa zastavom STREAMING-UNSIGNED-PAYLOAD-TRAILER
  • Koristite Web aplikacioni firewall (WAF) da odbacite zahteve sa ovom zastavom
  • Klijenti trebaju da koriste STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER - potpisan varijanta
  • Ograničite dozvole za pisanje samo na pouzdane korisnike
  • Promenite podrazumevane pristupne ključeve sa "minioadmin" na jaku šifru

Tehnički detalji

CVE-2026-41145 je ranjivost u `PutObjectHandler` i `PutObjectPartHandler` funkcijama. Napadač zaobilazi autentifikaciju tako što ispušta `Authorization` zaglavlje i prosljeđuje kredencijale isključivo preko `X-Amz-Credential` parametra u upitu. Sistem proverava prisustvo `Authorization` zaglavlja, ne pronalazi ga, i preskaće kriptografsku verifikaciju potpisa, dozvoljavajući zahtev da se nastavi sa dozvolama lažnog pristupnog ključa. Ranjivost pogađa i standardne i multipart učitavanja. CVSS skor je 8.8 (VISOK).

Preporuka Sajber Radara

Ovo je kritična ranjivost koja zahteva neophodnu akciju. Ako koristite MinIO, odmah ažurirajte na ispravnu verziju ili primenite privremene mere zaštite na nivou mreže dok nisu u mogućnosti da izvrše ažuriranje.