Vulnerabilidad en MinIO (CVE-2024-36107)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
28/05/2024
Última modificación:
29/05/2024
Descripción
MinIO es un almacenamiento de objetos de alto rendimiento lanzado bajo la licencia pública general GNU Affero v3.0. Los encabezados `If-Modified-Since` y `If-Unmodified-Since` cuando se usan con solicitudes anónimas enviando un nombre de objeto aleatorio, las solicitudes se pueden usar para determinar si un objeto existe o no en el servidor en un depósito específico y también obtener acceso a cierta cantidad de información como `Última modificación (de la última versión)`, `Etag (de la última versión)`, `x-amz-version-id (de la última versión)`, `Expira (valor de metadatos) de la última versión)`, `Cache-Control (valor de metadatos de la última versión)`. Esta verificación condicional se cumplió antes de validar si realmente se permite el acceso anónimo a los metadatos de un objeto. Este problema se solucionó en el commit "e0fe7cc3917". Los usuarios deben actualizar a RELEASE.2024-05-27T19-17-46Z para obtener la solución. No se conocen workarounds para este problema.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/If-Modified-Since
- https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/If-Unmodified-Since
- https://github.com/minio/minio/commit/e0fe7cc391724fc5baa85b45508f425020fe4272
- https://github.com/minio/minio/pull/19810
- https://github.com/minio/minio/security/advisories/GHSA-95fr-cm4m-q5p9