Minio Operator认证机制缺陷漏洞(CVE-2025-32963)
CVE编号
CVE-2025-32963
利用情况
暂无
补丁情况
N/A
披露时间
2025-04-23
漏洞描述
MinIO Operator是一个开源的Kubernetes环境设计的自动化管理工具,用于简化 MinIO 对象存储集群的部署、运维和扩展。
在受漏洞影响的版本中,由于应用程序调用 MinIO Operator 提供的 API时,未验证该令牌的预期接收者 (audience) 是否为 MinIO STS 服务本身,只是通过验证令牌有效性并未进行受众校验,访问者在默认启用自动挂载ServiceAccount令牌,从而绕过认证机制。
修复版本中通过引入了TokenReviewAudience用于进行受众验证,以及在配置文件中关闭了自动挂载ServiceAccount令牌,避免了绕过认证机制问题。
解决建议
"将组件 github.com/minio/operator 升级至 7.1.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/minio/operator/releases/tag/v7.1.0 | |
| https://github.com/minio/operator/security/advisories/GHSA-7m6v-q233-q9j9 |
文章评论