CVE-2023-28432 PoC — Minio Information Disclosure in Cluster Deployment

Source

https://github.com/xk-mt/CVE-2023-28432

Associated Vulnerability

Title:Minio Information Disclosure in Cluster Deployment (CVE-2023-28432)
Description:Minio is a Multi-Cloud Object Storage framework. In a cluster deployment starting with RELEASE.2019-12-17T23-16-33Z and prior to RELEASE.2023-03-20T20-16-18Z, MinIO returns all environment variables, including `MINIO_SECRET_KEY` and `MINIO_ROOT_PASSWORD`, resulting in information disclosure. All users of distributed deployment are impacted. All users are advised to upgrade to RELEASE.2023-03-20T20-16-18Z.

Description

minio系统存在信息泄露漏洞，未经身份认证的远程攻击，通过发送特殊POST请求到/minio/bootstrap/v1/verify即可获取所有敏感信息，其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD，可能导致管理员账号密码泄露。

Readme

# CVE-2023-28432（minio信息泄露）泄露账号密码
minio系统存在信息泄露漏洞，未经身份认证的远程攻击，通过发送特殊POST请求到/minio/bootstrap/v1/verify即可获取所有敏感信息，其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD，可能导致管理员账号密码泄露。

# 使用方式
xk-mt-CVE-2023-28432.py -u http://127.0.0.1:9001/login

会自动替换端口和url，只保留了域名，因为api的端口是9000，所有固定端口访问，效果更佳。


# 免责声明：
使用风险： 本工具仅供学习和技术研究目的使用。使用者应理解并接受使用该工具可能带来的风险和后果。

法律合规： 使用者必须确保在使用本工具的过程中遵守所有适用的法律法规。禁止使用本工具进行任何非法活动、攻击或侵犯隐私的行为。

免责声明： 本工具是按照"现状"提供的，没有任何形式的明示或暗示保证。使用者对使用本工具的结果负全部责任。

潜在风险： 本工具可能会导致系统故障、数据丢失或其他意外后果。使用者应该在合适的环境中进行测试，以减小潜在风险。

技术支持： 作者或维护者不提供对该工具的任何形式的技术支持。使用者应当依赖社区或其他渠道获取支持。

合理用途： 使用者应仅将本工具用于合法和良好用途，包括但不限于安全测试、研究和教育。

变更和更新： 作者或维护者保留随时更改或更新本工具的权利。使用者应定期查看相关文档和公告以获取最新信息。


# 通过使用本工具，使用者表明已经阅读并理解本免责声明，并同意遵守所有规定和条件。

File Snapshot

Remarks

1. It is advised to access via the original source first.

2. Local POC snapshots are reserved for subscribers — if the original source is unavailable, the local mirror is part of the paid plan.

View subscription plans →

Goal Reached Thanks to every supporter — we hit 100%!