MinIO开源对象存储平台新发现CVE-2024-55949漏洞，允许任何用户通过恶意iam-info.zip文件上传，利用IAM导入API权限检查缺失，将自身权限升级至管理员级别，从而控制整个MinIO部署。此漏洞影响2022年6月23日后所有版本，无已知解决方法，强烈建议用户立即更新至已修复版本。此前MinIO也曾因其他漏洞面临安全挑战，此次漏洞的严重性凸显了及时打补丁的重要性。

⚠️MinIO 存在 CVE-2024-55949 严重漏洞，CVSSv4 得分高达 9.3，允许攻击者通过恶意文件上传将自身权限提升为管理员。

🛡️该漏洞源于 IAM 导入 API 的权限检查缺失，攻击者可利用 `mc admin cluster iam import` 命令上传恶意 `iam-info.zip` 文件修改自身权限。

🚨此漏洞影响自 2022 年 6 月 23 日以来发布的所有 MinIO 版本，且无已知解决方法，用户必须立即更新到 RELEASE.2024-12-13T22-19-12Z 版本。

🔒MinIO 此前曾出现 CVE-2023-28432 和 CVE-2023-28434 等漏洞，导致数据泄露和代码执行，此次漏洞再次警示及时更新的重要性。

流行的开源对象存储平台 MinIO 中新发现的一个漏洞可能允许任何用户将其权限升级到管理员级别，从而对数据安全构成重大风险。该漏洞被追踪为 CVE-2024-55949，CVSSv4 得分为 9.3（危急），存在于 IAM 导入 API 中。由于权限检查缺失，攻击者可以通过制作恶意的 iam-info.zip 文件并通过 mc admin 集群 iam 导入命令上传该文件，利用该漏洞修改自己的用户权限。这样，他们就可以授予自己完全的管理控制权，从而有效地劫持整个 MinIO 部署。此漏洞影响自 2022 年 6 月 23 日以来发布的所有 MinIO 版本，并影响所有用户，无论其初始权限如何。强烈建议 MinIO 用户立即将其部署更新到已修补的版本 (RELEASE.2024-12-13T22-19-12Z)。该漏洞没有已知的解决方法。这不是 MinIO 第一次面临安全挑战。2023 年，攻击者利用另外两个关键漏洞（CVE-2023-28432 和 CVE-2023-28434），在未经授权的情况下访问敏感数据并执行任意代码。CVE-2024-55949 存在严重的权限升级风险，且没有可用的解决方法。由于 MinIO 系统对现代数据工作负载至关重要，因此必须立即打补丁。延迟行动可能会使组织面临严重的漏洞和数据泄露。