关联漏洞
标题:
MinIO 信息泄露漏洞
(CVE-2023-28432)
描述:MinIO是美国MinIO公司的一款开源的对象存储服务器。该产品支持构建用于机器学习、分析和应用程序数据工作负载的基础架构。 MinIO 存在信息泄露漏洞,该漏洞源于在集群部署中MinIO会返回所有环境变量,导致信息泄露。
描述
minio系统存在信息泄露漏洞,未经身份认证的远程攻击,通过发送特殊POST请求到/minio/bootstrap/v1/verify即可获取所有敏感信息,其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,可能导致管理员账号密码泄露。
介绍
# CVE-2023-28432(minio信息泄露)泄露账号密码
minio系统存在信息泄露漏洞,未经身份认证的远程攻击,通过发送特殊POST请求到/minio/bootstrap/v1/verify即可获取所有敏感信息,其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,可能导致管理员账号密码泄露。
# 使用方式
xk-mt-CVE-2023-28432.py -u http://127.0.0.1:9001/login
会自动替换端口和url,只保留了域名,因为api的端口是9000,所有固定端口访问,效果更佳。
# 免责声明:
使用风险: 本工具仅供学习和技术研究目的使用。使用者应理解并接受使用该工具可能带来的风险和后果。
法律合规: 使用者必须确保在使用本工具的过程中遵守所有适用的法律法规。禁止使用本工具进行任何非法活动、攻击或侵犯隐私的行为。
免责声明: 本工具是按照"现状"提供的,没有任何形式的明示或暗示保证。使用者对使用本工具的结果负全部责任。
潜在风险: 本工具可能会导致系统故障、数据丢失或其他意外后果。使用者应该在合适的环境中进行测试,以减小潜在风险。
技术支持: 作者或维护者不提供对该工具的任何形式的技术支持。使用者应当依赖社区或其他渠道获取支持。
合理用途: 使用者应仅将本工具用于合法和良好用途,包括但不限于安全测试、研究和教育。
变更和更新: 作者或维护者保留随时更改或更新本工具的权利。使用者应定期查看相关文档和公告以获取最新信息。
# 通过使用本工具,使用者表明已经阅读并理解本免责声明,并同意遵守所有规定和条件。
文件快照
[4.0K] /data/pocs/5c2918fe3940415cd50f2c270132b2fdaefd4aae
├── [1.7K] README.md
└── [2.7K] xk-mt-CVE-2023-28432.py
0 directories, 2 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。