Vulnerabilidad en MinIO (CVE-2022-24842)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

12/04/2022

Última modificación:

06/07/2023

Descripción

MinIO es un almacenamiento de objetos de alto rendimiento publicado bajo la Licencia Pública General Affero versión v3.0 de GNU. Se ha encontrado un problema de seguridad en el que un usuario no administrador es capaz de crear cuentas de servicio para el usuario root u otros usuarios administradores y luego es capaz de asumir sus políticas de acceso por medio de las credenciales generadas. Esto, a su vez, permite al usuario escalar sus privilegios a los del usuario root. Esta vulnerabilidad ha sido resuelta en el pull request #14729 y es incluida en &#39;RELEASE.2022-04-12T06-55-35Z". Los usuarios que no puedan actualizar pueden mitigar este problema al añadir explícitamente una política de denegación "admin:CreateServiceAccount", pero esto, a su vez, deniega al usuario la capacidad de crear sus propias cuentas de servicio

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:S/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 9.00 ALTA
Vector: AV:N/AC:L/Au:S/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo