一、 漏洞 CVE-2023-28432 基础信息
漏洞信息
# Minio 在集群部署中的信息泄露漏洞

## 概述
Minio 是一个多功能的多云对象存储框架。在集群部署中,从 RELEASE.2019-12-17T23-16-33Z 至 RELEASE.2023-03-20T20-16-18Z 之前的版本存在一个漏洞,导致泄露环境变量,包括 `MINIO_SECRET_KEY` 和 `MINIO_ROOT_PASSWORD`。

## 影响版本
- 从 RELEASE.2019-12-17T23-16-33Z 至 RELEASE.2023-03-20T20-16-18Z 之前的版本

## 细节
Minio 在集群部署中会暴露所有环境变量,包括敏感的如 `MINIO_SECRET_KEY` 和 `MINIO_ROOT_PASSWORD`,导致信息泄露问题。

## 影响
所有分布式部署的用户都会受到影响,建议升级到 RELEASE.2023-03-20T20-16-18Z 版本。
备注
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Minio Information Disclosure in Cluster Deployment
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Minio is a Multi-Cloud Object Storage framework. In a cluster deployment starting with RELEASE.2019-12-17T23-16-33Z and prior to RELEASE.2023-03-20T20-16-18Z, MinIO returns all environment variables, including `MINIO_SECRET_KEY` and `MINIO_ROOT_PASSWORD`, resulting in information disclosure. All users of distributed deployment are impacted. All users are advised to upgrade to RELEASE.2023-03-20T20-16-18Z.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
MinIO 信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
MinIO是美国MinIO公司的一款开源的对象存储服务器。该产品支持构建用于机器学习、分析和应用程序数据工作负载的基础架构。 MinIO 存在信息泄露漏洞,该漏洞源于在集群部署中MinIO会返回所有环境变量,导致信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-28432 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2023-28434 nuclei templates https://github.com/Mr-xn/CVE-2023-28432 POC详情
2 MiniO verify interface sensitive information disclosure vulnerability (CVE-2023-28432) https://github.com/gobysec/CVE-2023-28432 POC详情
3 CVE-2023-28432,minio未授权访问检测工具 https://github.com/Okaytc/minio_unauth_check POC详情
4 MinIO敏感信息泄露漏洞批量扫描poc&exp https://github.com/MzzdToT/CVE-2023-28432 POC详情
5 CVE-2023-28432 POC https://github.com/acheiii/CVE-2023-28432 POC详情
6 通过vulhub的复现过程实现了,基本的批量检测。比较垃圾但是勉强能用 https://github.com/steponeerror/Cve-2023-28432- POC详情
7 CVE-2023-28432 MinIO敏感信息泄露检测脚本 https://github.com/Cuerz/CVE-2023-28432 POC详情
8 minio敏感信息泄露 https://github.com/Majus527/MinIO_CVE-2023-28432 POC详情
9 None https://github.com/LHXHL/Minio-CVE-2023-28432 POC详情
10 Test environments for CVE-2023-28432, information disclosure in MinIO clusters https://github.com/h0ng10/CVE-2023-28432_docker POC详情
11 None https://github.com/CHINA-china/MinIO_CVE-2023-28432_EXP POC详情
12 MinIO Information Disclosure Vulnerability scanner by metasploit https://github.com/TaroballzChen/CVE-2023-28432-metasploit-scanner POC详情
13 CVE-2023-28432检测工具 https://github.com/bingtangbanli/CVE-2023-28432 POC详情
14 Automated vulnerability scanner for CVE-2023-28432 in Minio deployments, revealing sensitive environment variables. https://github.com/Chocapikk/CVE-2023-28432 POC详情
15 None https://github.com/yTxZx/CVE-2023-28432 POC详情
16 https://github.com/AbelChe/evil_minio/tree/main 打包留存 https://github.com/Fw-fW-fw/CVE-2023-28432-minio_update_rce POC详情
17 https://github.com/AbelChe/evil_minio/tree/main 打包留存 https://github.com/unam4/CVE-2023-28432-minio_update_rce POC详情
18 CVE-2023-28432 Minio Information isclosure Exploit https://github.com/C1ph3rX13/CVE-2023-28432 POC详情
19 None https://github.com/netuseradministrator/CVE-2023-28432 POC详情
20 minio系统存在信息泄露漏洞,未经身份认证的远程攻击,通过发送特殊POST请求到/minio/bootstrap/v1/verify即可获取所有敏感信息,其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,可能导致管理员账号密码泄露。 https://github.com/xk-mt/CVE-2023-28432 POC详情
21 MinIO vulnerability exploit - CVE-2023-28432 https://github.com/0xRulez/CVE-2023-28432 POC详情
22 PoC for CVE-2023-28432 https://github.com/fhAnso/CVE-2023-28432 POC详情
23 MinIO vulnerability exploit - CVE-2023-28432 https://github.com/BitWiz4rd/CVE-2023-28432 POC详情
24 CVE-2023-28432检测工具 https://github.com/NET-Flowers/CVE-2023-28432 POC详情
25 MinIO is susceptible to information disclosure. In a cluster deployment starting with RELEASE.2019-12-17T23-16-33Z and prior to RELEASE.2023-03-20T20-16-18Z, MinIO returns all environment variables, including MINIO_SECRET_KEY and MINIO_ROOT_PASSWORD. An attacker can potentially obtain sensitive information, modify data, and/or execute unauthorized operations without entering necessary credentials. All users of distributed deployment are impacted. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2023/CVE-2023-28432.yaml POC详情
26 None https://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/MinIO%20%E9%9B%86%E7%BE%A4%E6%A8%A1%E5%BC%8F%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%20CVE-2023-28432.md POC详情
27 https://github.com/vulhub/vulhub/blob/master/minio/CVE-2023-28432/README.md POC详情
三、漏洞 CVE-2023-28432 的情报信息