オブジェクトストレージ「MinIO」に深刻な脆弱性

オブジェクトストレージのプラットフォーム「MinIO」において、管理者権限を取得されるおそれがある深刻な脆弱性が明らかとなった。

同ソフトウェアに用意されているAPI「IAM Import API」において権限チェックが不十分なことから、権限の昇格が可能となる脆弱性「CVE-2024-55949」が判明したもの。米国家安全保障局（NSA）より報告を受けたという。

細工した認証および認可設定情報を含むzipファイルをインポートさせることで、管理者レベルの権限を取得することが可能。アノニマスユーザーを除くほとんどのユーザー権限で悪用できるとしている。

CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv4.0」のベーススコアを「9.3」と評価、重要度をもっとも高い「クリティカル（Critical）」とレーティングした。

開発チームは、12月13日にリリースしたアップデート「RELEASE.2024-12-13T22-19-12Z」で脆弱性を修正。ソースリポジトリにおいてパッチを公開している。回避策はなく、すべてのユーザーに更新を呼びかけている。

（Security NEXT - 2024/12/20 ） ツイート

PR

関連記事

「cPanel」に深刻な脆弱性、悪用も - 修正や侵害有無の確認を
サイトが改ざん、無関係なページが表示 - 旭精機工業
職員がSNS上へ執務室内の画像を投稿、顧客情報も - 西日本シティ銀
市税滞納相談者リストをメールで誤送信 - 横須賀市
カーインテリア通販サイトに不正アクセス - 個人情報流出の可能性
「NVIDIA FLARE SDK」に複数の脆弱性 - 認証回避やコード実行のおそれ
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
若年層向け長期ハッカソン「SecHack365」、受講生を募集中
「SonicOS」に複数の脆弱性 - 認証回避やDoSのおそれ
「Chrome」に30件の脆弱性 - 「クリティカル」が4件