CVE-2021-21287 — 神龙十问 AI 深度分析摘要

🚨 **本质**：MinIO 存在 **SSRF (服务器端请求伪造)** 漏洞。攻击者通过构造恶意 URL 或操纵路径，诱导服务器发起非预期的内部请求。后果：可能导致 **内部网络探测** 或 **敏感数据泄露**。

🔍 **根本原因**：归类为 **CWE-918 (SSRF)**。缺陷点在于代码未严格校验 URL 构建方式，允许攻击者通过 **路径遍历** 或提供 **完全不同的 URL** 来修改功能调用。

🎯 **影响范围**：MinIO 对象存储服务器。具体为 **RELEASE.2021-01-30T00-20-58Z 之前** 的 Browser API 版本。

💀 **黑客能力**：利用 **SSRF** 攻击。可访问 **内部服务**、绕过防火墙策略，甚至可能读取 **内部元数据** 或触发内部应用逻辑，造成 **信息泄露**。

⚠️ **利用门槛**：**中等**。CVSS 评分显示需要 **PR:L (低权限认证)**，意味着攻击者通常需要拥有 MinIO 的 **基础访问权限** 才能触发此漏洞。

📦 **现成 Exp**：**有**。GitHub 上已有 Nuclei 模板 (`CVE-2021-21287.yaml`) 和 Awesome-POC 仓库中的详细利用文档，可直接用于自动化扫描。

🔎 **自查方法**：使用支持 SSRF 检测的扫描器（如 Nuclei）。特征：检查 MinIO 浏览器 API 接口，尝试注入恶意 URL 参数，观察服务器是否向内部地址发起请求。

🛡️ **官方修复**：**已修复**。MinIO 发布了安全补丁，版本 **RELEASE.2021-01-30T00-20-58Z** 及之后版本已修复此问题。参考 GitHub PR #11337。

🚧 **临时规避**：若无法立即升级，建议 **限制 MinIO 访问权限**，仅允许受信任 IP 访问管理界面。配置 **WAF 规则** 拦截异常的 URL 参数和路径遍历请求。

🔥 **优先级**：**高**。虽然需要低权限认证，但 SSRF 危害极大，且已有现成 PoC。建议 **立即升级** 到最新安全版本，防止内部网络被穿透。