流行的开源对象存储平台 MinIO 中新发现的一个漏洞可能允许任何用户将其权限升级到管理员级别，从而对数据安全构成重大风险。

该漏洞被追踪为 CVE-2024-55949，CVSSv4 得分为 9.3（危急），存在于 IAM 导入 API 中。由于权限检查缺失，攻击者可以通过制作恶意的 iam-info.zip 文件并通过 mc admin 集群 iam 导入命令上传该文件，利用该漏洞修改自己的用户权限。这样，他们就可以授予自己完全的管理控制权，从而有效地劫持整个 MinIO 部署。

此漏洞影响自 2022 年 6 月 23 日以来发布的所有 MinIO 版本，并影响所有用户，无论其初始权限如何。

强烈建议 MinIO 用户立即将其部署更新到已修补的版本 (RELEASE.2024-12-13T22-19-12Z)。该漏洞没有已知的解决方法。

这不是 MinIO 第一次面临安全挑战。2023 年，攻击者利用另外两个关键漏洞（CVE-2023-28432 和 CVE-2023-28434），在未经授权的情况下访问敏感数据并执行任意代码。

CVE-2024-55949 存在严重的权限升级风险，且没有可用的解决方法。由于 MinIO 系统对现代数据工作负载至关重要，因此必须立即打补丁。延迟行动可能会使组织面临严重的漏洞和数据泄露。