Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
The Hacker News · 1T SIDEN · sikkerhet

RabbitMQ lekker OAuth-hemmeligheten til uautentiserte angripere i ett kall

SYNOPSIS_GENERERT

To tilgangskontrollfeil i RabbitMQ har ligget i koden siden tidlig i 2024: den ene gir uautentiserte angripere OAuth-hemmeligheten, den andre lar innloggede lese andre tenants køer.

To sårbarheter i tilgangskontrollen rammer alle RabbitMQ-utgaver fra 3.13.0 og oppover, ifølge sikkerhetsselskapet Miggo, som fant og rapporterte dem til The Hacker News. Den alvorligste, CVE-2026-57219 med CVSS-score 8.7, sitter i et utdatert HTTP-endepunkt: «GET /api/auth» returnerer klienthemmeligheten til hvem som helst på installasjoner som har satt konfigurasjonsnøkkelen «management.oauth_client_secret».

Autorisasjonssjekken på det endepunktet var hardkodet til alltid å slippe forespørselen gjennom, i motsetning til alle andre sensitive management-endepunkter. Med hemmeligheten i hånden kan en angriper bytte den inn i et administrator-token og styre hver melding, kø, bruker og innstilling i brokeren. Den andre feilen, CVE-2026-57221 (CVSS 5.3), er mindre dramatisk: enhver innlogget bruker som får koblet seg til en virtuell host, kan liste opp alle kø- og exchange-navn der og lese antall meldinger og konsumenter, uansett hvilke rettigheter brukeren faktisk har.

«Risikoen er skarpest der management-porten er tilgjengelig fra et utrygt nettverk: sky- eller multitenant-oppsett, eller et management-grensesnitt som ved et uhell er eksponert mot internett» — Miggo

Begge feilene har ligget i koden siden tidlig i 2024, og Miggo fant ingen tegn til utnyttelse før offentliggjøringen. Kjører du RabbitMQ som meldingslag i en selvhostet agent- eller automatiseringsstack, er avstanden fra eksponert management-port til full overtakelse likevel ett HTTP-kall. Samtidig har vedlikeholderne tettet to kritiske feil til: en forbikjøring av TLS-klientautentisering (CVSS 9.1) og en JWKS-forfalskning som får brokeren til å godta vilkårlige JWT-er (CVSS 9.2).

Hva bør du gjøre?

  1. Oppgrader til 4.3.0, 4.2.6, 4.1.11, 4.0.20 eller 3.13.15, avhengig av hvilken release-linje du kjører.
  2. Roter OAuth-klienthemmeligheten hvis management-grensesnittet har vært eksponert mot internett. Patchen tetter lekkasjen, men henter ikke tilbake en hemmelighet som allerede er ute.
  3. Steng port 15672 for alt utenfor interne nett, og skill tenants på egne virtuelle hoster.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN