製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Minio Inc.のMinioにおける複数の脆弱性

タイトル	Minio Inc.のMinioにおける複数の脆弱性
概要	MinIOは高性能なオブジェクトストレージシステムです。RELEASE.2023-05-18T00-05-36ZからRELEASE.2026-04-11T03-20-12Zの間のバージョンにおいて、MinIOのSnowball自動展開ハンドラー（`PutObjectExtractHandler`）に認証バイパスの脆弱性があります。この脆弱性により、有効なアクセスキーを知っている任意のユーザーが秘密キーや有効な暗号署名を知らなくても任意のバケットに任意のオブジェクトを書き込むことが可能です。すべてのMinIOのデプロイメントが影響を受けます。攻撃は有効なアクセスキー（既知のデフォルト`minioadmin`、またはバケットにWRITE権限を持つ任意のキー）とターゲットバケット名のみを必要とします。`authTypeStreamingUnsignedTrailer`サポートが追加された際、新しい認証タイプは`PutObjectHandler`と`PutObjectPartHandler`で処理されましたが、`PutObjectExtractHandler`には追加されていません。Snowball自動展開ハンドラーの`switch rAuthType`ブロックには`authTypeStreamingUnsignedTrailer`のケースがなく、実行は署名検証なしで通過します。`switch`の前の`isPutActionAllowed`呼び出しはアクセスキーを抽出しIAM権限をチェックしますが、暗号署名の検証は行いません。攻撃者は`X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER`、`X-Amz-Meta-Snowball-Auto-Extract: true`、および有効なアクセスキーを含み署名が完全に偽造された`Authorization`ヘッダーを付けたPUTリクエストを送信し、リクエストは受理されてtarペイロードがバケットに展開されます。オープンソースのminio/minioプロジェクトのユーザーはMinIO AIStor RELEASE.2026-04-11T03-20-12Z以降にアップグレードしてください。すぐにアップグレードできない場合はロードバランサーで署名無しトレーラーのリクエストをブロックしてください。リバースプロキシやWAFレイヤーで`X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER`を含むリクエストを拒否してください。クライアントは署名済みの`STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER`を代わりに使用できます。あるいはWRITE権限を制限し、s3:PutObjectの付与を信頼されたプリンシパルに限定してください。この対策により攻撃面は減少しますが、WRITE権限を持つユーザーはアクセスキーのみでこの脆弱性を悪用できるため、脆弱性は完全には解消されません。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアの一部が停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月22日0:00
登録日	2026年4月30日12:28
最終更新日	2026年4月30日12:28

CVSS3.0 : 重要
スコア	8.2
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L

影響を受けるシステム

Minio Inc.

Minio 2023-05-18t00-05-36z 以上 2026-04-11T03-20-12Z 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40344	https://www.cve.org/CVERecord?id=CVE-2026-40344
National Vulnerability Database (NVD)
2	CVE-2026-40344	https://nvd.nist.gov/vuln/detail/CVE-2026-40344

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html
2	CWE-306	https://cwe.mitre.org/data/definitions/306.html

ベンダー情報

No	名前	URL
GitHub
1	Unauthenticated Object Write via Missing Signature Verification in Snowball Auto-Extract Advisory minio/minio GitHub	https://github.com/minio/minio/security/advisories/GHSA-9c4q-hq6p-c237

その他

No	名前	URL
関連文書
1	Signed trailers for signature v4 (#16484) minio/minio@76913a9 GitHub	https://github.com/minio/minio/commit/76913a9fd5c6e5c2dbd4e8c7faf56ed9e9e24091
2	Signed trailers for signature v4 by klauspost Pull Request #16484 minio/minio GitHub	https://github.com/minio/minio/pull/16484

変更履歴

No	変更内容	変更日
1	[2026年04月30日] 掲載	2026年4月30日12:28

NVD脆弱性情報

CVE-2026-40344

概要	MinIO is a high-performance object storage system. Starting in RELEASE.2023-05-18T00-05-36Z and prior to RELEASE.2026-04-11T03-20-12Z, an authentication bypass vulnerability in MinIO's Snowball auto-extract handler (`PutObjectExtractHandler`) allows any user who knows a valid access key to write arbitrary objects to any bucket without knowing the secret key or providing a valid cryptographic signature. Any MinIO deployment is impacted. The attack requires only a valid access key (the well-known default `minioadmin`, or any key with WRITE permission on a bucket) and a target bucket name. When `authTypeStreamingUnsignedTrailer` support was added, the new auth type was handled in `PutObjectHandler` and `PutObjectPartHandler` but was never added to `PutObjectExtractHandler`. The snowball auto-extract handler's `switch rAuthType` block has no case for `authTypeStreamingUnsignedTrailer`, so execution falls through with zero signature verification. The `isPutActionAllowed` call before the switch extracts the access key and checks IAM permissions, but does not verify the cryptographic signature. An attacker sends a PUT request with `X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER`, `X-Amz-Meta-Snowball-Auto-Extract: true`, and an `Authorization` header containing a valid access key with a completely fabricated signature. The request is accepted and the tar payload is extracted into the bucket. Users of the open-source minio/minio project should upgrade to MinIO AIStor RELEASE.2026-04-11T03-20-12Z or later. If upgrading is not immediately possible, block unsigned-trailer requests at the load balancer. Reject any request containing X-Amz-Content-Sha256: STREAMING-UNSIGNED-PAYLOAD-TRAILER at the reverse proxy or WAF layer. Clients can use STREAMING-AWS4-HMAC-SHA256-PAYLOAD-TRAILER (the signed variant) instead. Alternatively, restrict WRITE permissions. Limit s3:PutObject grants to trusted principals. While this reduces the attack surface, it does not eliminate the vulnerability since any user with WRITE permission can exploit it with only their access key.
公表日	2026年4月22日10:16
登録日	2026年4月25日4:04
最終更新日	2026年4月28日4:28

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:minio:minio::::::::		2023-05-18t00-05-36z			2026-04-11T03-20-12Z

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/minio/minio/commit/76913a9fd5c6e5c2dbd4e8c7faf56ed9e9e24091	security-advisories@github.com
2	https://github.com/minio/minio/pull/16484	security-advisories@github.com
3	https://github.com/minio/minio/security/advisories/GHSA-9c4q-hq6p-c237	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-287	不適切な認証	https://cwe.mitre.org/data/definitions/287.html
2	CWE-306	重要な機能に対する認証の欠如解説	https://cwe.mitre.org/data/definitions/306.html