MinIO修補物件儲存平臺漏洞，包括允許任意使用者獲得完全管理權限重大漏洞

憑藉高效能、高擴展性與簡易特色，近來在物件儲存領域聲名鵲起的MinIO，於12月16日通報1個重大漏洞CVE-2024-55949，並釋出修補版本。

MinIO是一款相容於S3協定的物件儲存軟體平臺，能以開源的免費形式（基於GNU AGPLv3授權），與付費的商用授權形式使用。

而日前通報的CVE-2024-55949則是評分達到9.3分的重大漏洞，這個漏洞是IAM身分存取識別匯入API（IAM import API）所導致，由於缺少權限檢查，攻擊者可以藉由建立iam-info.zip檔案，然後透過mc admin cluster iam import指令匯入該檔案，從而修改自身在MinIO平臺上的權限，進而還能取得完全的管理權限，控制整個MinIO平臺的管理與部署。

這些漏洞會影響2022年6月23日以後的所有MinIO版本，解決方法是升級到已修補的版本（RELEASE.2024-12-13T22-19-12Z）。