MinIO 信息泄露(CVE-2023-28432)漏洞检测及汇总

MiniO 敏感信息泄露漏洞简介 (CVE-2023-28432):

MinIO 是一个基于 GNU Affero 通用公共许可证 v3.0 发布的高性能对象存储，它兼容 Amazon S3 云存储服务的 API，能够处理非结构化数据，如照片、视频、日志文件、备份和容器镜像。攻击者可以向部署在集群中的 MinIO 发送特殊的未经身份验证的 HTTP 请求，获取包括 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD 在内的所有环境变量信息，导致敏感信息泄露并以管理员身份登录 MinIO。

MiniO verify 接口敏感信息泄露漏洞分析 (CVE-2023-28432):

https://blog.csdn.net/qq_35476650/article/details/129748849

MinIO 信息泄露漏洞到 RCE 漏洞分析 (CVE-2023-28432):

http://www.hackdig.com/03/hack-951978.htm

MiniO 敏感信息泄露漏洞复现 (CVE-2023-28432):

nuclei 模板 https://github.com/Mr-xn/CVE-2023-28432

MinIO 敏感信息泄露漏洞批量扫描 POC 和 EXP:

https://github.com/MzzdToT/CVE-2023-28432

CVE-2023-28432 漏洞复现:

https://mp.weixin.qq.com/s/aJysJfDgH13ha7yRdAj25w

MinIO 信息泄露漏洞 (CVE-2023-28432) 批量检测 POC:

https://blog.csdn.net/weixin_53009585/article/details/129819555

漏洞检测：

服务默认端口为 "9000"。

版本检测路径为 "GET /api/v1/check-version"。

信息泄露路径为 "POST /minio/bootstrap/v1/verify"。