CVE-2025-27414

MinIO is a high performance object storage. Starting in RELEASE.2024-06-06T09-36-42Z and prior to RELEASE.2025-02-28T09-55-16Z, a bug in evaluating the trust of the SSH key used in an SFTP connection to MinIO allows authentication bypass and unauthorized data access. On a MinIO server with SFTP access configured and using LDAP as an external identity provider, MinIO supports SSH key based authentication for SFTP connections when the user has the `sshPublicKey` attribute set in their LDAP server. The server trusts the client's key only when the public key is the same as the `sshPublicKey` attribute. Due to the bug, when the user has no `sshPublicKey` property in LDAP, the server ends up trusting the key allowing the client to perform any FTP operations allowed by the MinIO access policies associated with the LDAP user (or any of their groups). Three requirements must be met in order to exploit the vulnerability. First, the MinIO server must be configured to allow SFTP access and use LDAP as an external identity provider. Second, the attacker must have knowledge of an LDAP username that does not have the `sshPublicKey` property set. Third, such an LDAP username or one of their groups must also have some MinIO access policy configured. When this bug is successfully exploited, the attacker can perform any FTP operations (i.e. reading, writing, deleting and listing objects) allowed by the access policy associated with the LDAP user account (and their groups). Version 1.2.0 fixes the issue.
CVSS

No CVSS.

Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) MinIO es un almacenamiento de objetos de alto rendimiento. A partir de RELEASE.2024-06-06T09-36-42Z y antes de RELEASE.2025-02-28T09-55-16Z, un error en la evaluación de la confianza de la clave SSH utilizada en una conexión SFTP a MinIO permite omitir la autenticación y acceder a datos no autorizados. En un servidor MinIO con acceso SFTP configurado y que utiliza LDAP como proveedor de identidad externo, MinIO admite la autenticación basada en clave SSH para conexiones SFTP cuando el usuario tiene el atributo `sshPublicKey` configurado en su servidor LDAP. El servidor confía en la clave del cliente solo cuando la clave pública es la misma que el atributo `sshPublicKey`. Debido al error, cuando el usuario no tiene la propiedad `sshPublicKey` en LDAP, el servidor termina confiando en la clave, lo que permite al cliente realizar cualquier operación FTP permitida por las políticas de acceso de MinIO asociadas con el usuario LDAP (o cualquiera de sus grupos). Para explotar la vulnerabilidad se deben cumplir tres requisitos. En primer lugar, el servidor MinIO debe estar configurado para permitir el acceso SFTP y utilizar LDAP como proveedor de identidad externo. En segundo lugar, el atacante debe tener conocimiento de un nombre de usuario LDAP que no tenga la propiedad `sshPublicKey` configurada. En tercer lugar, dicho nombre de usuario LDAP o uno de sus grupos también debe tener configurada alguna política de acceso MinIO. Cuando se explota este error con éxito, el atacante puede realizar cualquier operación FTP (es decir, leer, escribir, eliminar y enumerar objetos) permitida por la política de acceso asociada con la cuenta de usuario LDAP (y sus grupos). La versión 1.2.0 corrige el problema.

28 Feb 2025, 21:15

Type Values Removed Values Added
New CVE

Information

Published : 2025-02-28 21:15

Updated : 2026-06-17 09:03


NVD link : CVE-2025-27414

Mitre link : CVE-2025-27414

CVE.ORG link : CVE-2025-27414


JSON object : View

Products Affected

No product.

CWE
CWE-287

Improper Authentication