الثغرات ›

CVE-2023-28434

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

                    نُشر: Sep 19, 2023                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

MinIO Security Feature Bypass Vulnerability — MinIO contains a security feature bypass vulnerability that allows an attacker to use crafted requests to bypass metadata bucket name checking and put an object into any bucket while processing `PostPolicyBucket` to conduct privilege escalation. To carry out this attack, the attacker requires credentials with `arn:aws:s3:::*` permission, as well as enabled Console API access.

🤖 ملخص AI

MinIO contains a critical security bypass vulnerability allowing attackers with specific S3 permissions to bypass bucket name validation and place objects in unauthorized buckets through crafted PostPolicyBucket requests. This vulnerability enables privilege escalation when Console API access is enabled, affecting organizations using MinIO for object storage.

📄 الوصف (العربية)

تسمح هذه الثغرة للمهاجمين الذين لديهم بيانات اعتماد صحيحة بتجاوز آليات التحقق من أسماء الدلاء في MinIO. يمكن للمهاجم استخدام طلبات مصنوعة بعناية لإدراج كائنات في أي دلو، مما يؤدي إلى تصعيد الامتيازات والوصول غير المصرح به إلى البيانات الحساسة.

🤖 ملخص تنفيذي (AI)

MinIO يحتوي على ثغرة أمنية حرجة تسمح للمهاجمين بصلاحيات S3 محددة بتجاوز التحقق من أسماء الدلاء وإدراج كائنات في دلاء غير مصرح بها. تمكن هذه الثغرة من تصعيد الامتيازات عند تفعيل وصول Console API.

🤖 التحليل الذكي آخر تحليل: Apr 22, 2026 13:38

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking government energy telecom healthcare

🎯 تقنيات MITRE ATT&CK

T1078.001 T1548.002 T1087.004

⚖️ درجة المخاطر السعودية (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade MinIO to the latest patched version. Disable Console API access if not required. Restrict S3 wildcard permissions (arn:aws:s3:::*) to only necessary principals and implement least-privilege access policies. Monitor bucket access logs for suspicious PostPolicyBucket requests and audit existing IAM credentials.

🔧 خطوات المعالجة (العربية)

قم بترقية MinIO فوراً إلى أحدث إصدار مصحح. عطّل وصول Console API إذا لم يكن مطلوباً. قيّد صلاحيات S3 البدل (arn:aws:s3:::*) للمبادئ الضرورية فقط وطبّق سياسات الوصول الأقل امتيازاً. راقب سجلات وصول الدلاء للطلبات المريبة وتدقيق بيانات اعتماد IAM الموجودة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.9.4.3

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

MinIO:MinIO

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS39.03%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2023-10-10

تاريخ النشر 2023-09-19

المصدر cisa_kev

المشاهدات 7

🇸🇦 درجة المخاطر السعودية

9.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2023-28434

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب