Vulnerabilidad en una funcionalidad para importar datos de una URL en MinIO en Apache (CVE-2021-21287)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
01/02/2021
Última modificación:
05/02/2021
Descripción
MinIO es un Almacenamiento de Objetos de Alto Rendimiento publicado bajo la licencia Apache versión v2.0. En MinIO anterior a la versión RELEASE.2021-01-30T00-20-58Z, se presenta una vulnerabilidad de tipo server-side request forgery. La aplicación objetivo puede tener una funcionalidad para importar datos de una URL, publicar datos en una URL o leer datos de una URL con que puedan ser alterada. El atacante modifica las llamadas a esta funcionalidad proporcionando una URL completamente diferente o al manipular cómo se construyen las URL (salto de ruta, etc.). En un ataque de tipo Server-Side Request Forgery (SSRF), el atacante puede abusar de la funcionalidad en el servidor para leer o actualizar recursos internos. El atacante puede proporcionar o modificar una URL que el código que se ejecuta en el servidor leerá o enviará datos, y al seleccionar cuidadosamente las URL, el atacante puede leer la configuración del servidor, como los metadatos de AWS, conectarse a servicios internos como bases de datos habilitadas para HTTP, o realizar peticiones posteriores a servicios internos que no estén destinados a ser expuestos. Esto es corregido en la versión RELEASE.2021-01-30T00-20-58Z, se recomienda a todos los usuarios que actualicen. Como solución alternativa, puede desactivar la interfaz del navegador con la variable de entorno "MINIO_BROWSER = off"
Impacto
Puntuación base 3.x
7.70
Gravedad 3.x
ALTA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:minio:minio:*:*:*:*:*:*:*:* | 2021-01-30t00-20-58z (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página