製品・ソフトウェアに関する情報

JVN脆弱性詳細

Minio Inc.のMinioにおける複数の脆弱性

Title	Minio Inc.のMinioにおける複数の脆弱性
Summary	MinIOは高性能なオブジェクトストレージシステムです。RELEASE.2023-05-18T00-05-36ZからRELEASE.2026-04-11T03-20-12Zの間のバージョンにおいて、MinIOのSnowball自動展開ハンドラー（`PutObjectExtractHandler`）に認証バイパスの脆弱性があります。この脆弱性により、有効なアクセスキーを知っている任意のユーザーが秘密キーや有効な暗号署名を知らなくても任意のバケットに任意のオブジェクトを書き込むことが可能です。すべてのMinIOのデプロイメントが影響を受けます。攻撃は有効なアクセスキー（既知のデフォルト`minioadmin`、またはバケットにWRITE権限を持つ任意のキー）とターゲットバケット名のみを必要とします。`authTypeStreamingUnsignedTrailer`サポートが追加された際、新しい認証タイプは`PutObjectHandler`と`PutObjectPartHandler`で処理されましたが、`PutObjectExtractHandler`には追加されていません。Snowball自動展開ハンドラーの`switch rAuthType`ブロックには`authTypeStreamingUnsignedTrailer`のケースがなく、実行は署名検証なしで通過します。`switch`の前の`isPutActionAllowed`呼び出しはアクセスキーを抽出しIAM権限をチェックしますが、暗号署名の検証は行いません。攻撃者は`X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER`、`X-Amz-Meta-Snowball-Auto-Extract: true`、および有効なアクセスキーを含み署名が完全に偽造された`Authorization`ヘッダーを付けたPUTリクエストを送信し、リクエストは受理されてtarペイロードがバケットに展開されます。オープンソースのminio/minioプロジェクトのユーザーはMinIO AIStor RELEASE.2026-04-11T03-20-12Z以降にアップグレードしてください。すぐにアップグレードできない場合はロードバランサーで署名無しトレーラーのリクエストをブロックしてください。リバースプロキシやWAFレイヤーで`X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER`を含むリクエストを拒否してください。クライアントは署名済みの`STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER`を代わりに使用できます。あるいはWRITE権限を制限し、s3:PutObjectの付与を信頼されたプリンシパルに限定してください。この対策により攻撃面は減少しますが、WRITE権限を持つユーザーはアクセスキーのみでこの脆弱性を悪用できるため、脆弱性は完全には解消されません。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアの一部が停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 22, 2026, midnight
Registration Date	April 30, 2026, 12:28 p.m.
Last Update	April 30, 2026, 12:28 p.m.

CVSS3.0 : 重要
Score	8.2
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L

Affected System

Minio Inc.

Minio 2023-05-18t00-05-36z 以上 2026-04-11T03-20-12Z 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40344	https://www.cve.org/CVERecord?id=CVE-2026-40344
National Vulnerability Database (NVD)
2	CVE-2026-40344	https://nvd.nist.gov/vuln/detail/CVE-2026-40344

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html
2	CWE-306	https://cwe.mitre.org/data/definitions/306.html

ベンダー情報

No	Name	URL
GitHub
1	Unauthenticated Object Write via Missing Signature Verification in Snowball Auto-Extract Advisory minio/minio GitHub	https://github.com/minio/minio/security/advisories/GHSA-9c4q-hq6p-c237

その他

No	Name	URL
関連文書
1	Signed trailers for signature v4 (#16484) minio/minio@76913a9 GitHub	https://github.com/minio/minio/commit/76913a9fd5c6e5c2dbd4e8c7faf56ed9e9e24091
2	Signed trailers for signature v4 by klauspost Pull Request #16484 minio/minio GitHub	https://github.com/minio/minio/pull/16484

Change Log

No	Changed Details	Date of change
1	[2026年04月30日] 掲載	April 30, 2026, 12:28 p.m.

NVD Vulnerability Information

CVE-2026-40344

Summary	MinIO is a high-performance object storage system. Starting in RELEASE.2023-05-18T00-05-36Z and prior to RELEASE.2026-04-11T03-20-12Z, an authentication bypass vulnerability in MinIO's Snowball auto-extract handler (`PutObjectExtractHandler`) allows any user who knows a valid access key to write arbitrary objects to any bucket without knowing the secret key or providing a valid cryptographic signature. Any MinIO deployment is impacted. The attack requires only a valid access key (the well-known default `minioadmin`, or any key with WRITE permission on a bucket) and a target bucket name. When `authTypeStreamingUnsignedTrailer` support was added, the new auth type was handled in `PutObjectHandler` and `PutObjectPartHandler` but was never added to `PutObjectExtractHandler`. The snowball auto-extract handler's `switch rAuthType` block has no case for `authTypeStreamingUnsignedTrailer`, so execution falls through with zero signature verification. The `isPutActionAllowed` call before the switch extracts the access key and checks IAM permissions, but does not verify the cryptographic signature. An attacker sends a PUT request with `X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER`, `X-Amz-Meta-Snowball-Auto-Extract: true`, and an `Authorization` header containing a valid access key with a completely fabricated signature. The request is accepted and the tar payload is extracted into the bucket. Users of the open-source minio/minio project should upgrade to MinIO AIStor RELEASE.2026-04-11T03-20-12Z or later. If upgrading is not immediately possible, block unsigned-trailer requests at the load balancer. Reject any request containing X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER at the reverse proxy or WAF layer. Clients can use STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER (the signed variant) instead. Alternatively, restrict WRITE permissions. Limit s3:PutObject grants to trusted principals. While this reduces the attack surface, it does not eliminate the vulnerability since any user with WRITE permission can exploit it with only their access key.
Publication Date	April 22, 2026, 10:16 a.m.
Registration Date	April 25, 2026, 4:04 a.m.
Last Update	April 28, 2026, 4:28 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:minio:minio::::::::		2023-05-18t00-05-36z			2026-04-11T03-20-12Z

Related information, measures and tools

No	URL	refsource
1	https://github.com/minio/minio/commit/76913a9fd5c6e5c2dbd4e8c7faf56ed9e9e24091	security-advisories@github.com
2	https://github.com/minio/minio/pull/16484	security-advisories@github.com
3	https://github.com/minio/minio/security/advisories/GHSA-9c4q-hq6p-c237	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-287	不適切な認証	https://cwe.mitre.org/data/definitions/287.html
2	CWE-306	重要な機能に対する認証の欠如解説	https://cwe.mitre.org/data/definitions/306.html