Vulnerabilidad en MinIO (CVE-2025-27414)

MinIO es un almacenamiento de objetos de alto rendimiento. A partir de RELEASE.2024-06-06T09-36-42Z y antes de RELEASE.2025-02-28T09-55-16Z, un error en la evaluación de la confianza de la clave SSH utilizada en una conexión SFTP a MinIO permite omitir la autenticación y acceder a datos no autorizados. En un servidor MinIO con acceso SFTP configurado y que utiliza LDAP como proveedor de identidad externo, MinIO admite la autenticación basada en clave SSH para conexiones SFTP cuando el usuario tiene el atributo `sshPublicKey` configurado en su servidor LDAP. El servidor confía en la clave del cliente solo cuando la clave pública es la misma que el atributo `sshPublicKey`. Debido al error, cuando el usuario no tiene la propiedad `sshPublicKey` en LDAP, el servidor termina confiando en la clave, lo que permite al cliente realizar cualquier operación FTP permitida por las políticas de acceso de MinIO asociadas con el usuario LDAP (o cualquiera de sus grupos). Para explotar la vulnerabilidad se deben cumplir tres requisitos. En primer lugar, el servidor MinIO debe estar configurado para permitir el acceso SFTP y utilizar LDAP como proveedor de identidad externo. En segundo lugar, el atacante debe tener conocimiento de un nombre de usuario LDAP que no tenga la propiedad `sshPublicKey` configurada. En tercer lugar, dicho nombre de usuario LDAP o uno de sus grupos también debe tener configurada alguna política de acceso MinIO. Cuando se explota este error con éxito, el atacante puede realizar cualquier operación FTP (es decir, leer, escribir, eliminar y enumerar objetos) permitida por la política de acceso asociada con la cuenta de usuario LDAP (y sus grupos). La versión 1.2.0 corrige el problema.