To sårbarheter i tilgangskontrollen rammer alle RabbitMQ-utgaver fra 3.13.0 og oppover, ifølge sikkerhetsselskapet Miggo, som fant og rapporterte dem til The Hacker News. Den alvorligste, CVE-2026-57219 med CVSS-score 8.7, sitter i et utdatert HTTP-endepunkt: «GET /api/auth» returnerer klienthemmeligheten til hvem som helst på installasjoner som har satt konfigurasjonsnøkkelen «management.oauth_client_secret».
Autorisasjonssjekken på det endepunktet var hardkodet til alltid å slippe forespørselen gjennom, i motsetning til alle andre sensitive management-endepunkter. Med hemmeligheten i hånden kan en angriper bytte den inn i et administrator-token og styre hver melding, kø, bruker og innstilling i brokeren. Den andre feilen, CVE-2026-57221 (CVSS 5.3), er mindre dramatisk: enhver innlogget bruker som får koblet seg til en virtuell host, kan liste opp alle kø- og exchange-navn der og lese antall meldinger og konsumenter, uansett hvilke rettigheter brukeren faktisk har.
«Risikoen er skarpest der management-porten er tilgjengelig fra et utrygt nettverk: sky- eller multitenant-oppsett, eller et management-grensesnitt som ved et uhell er eksponert mot internett» — Miggo
Begge feilene har ligget i koden siden tidlig i 2024, og Miggo fant ingen tegn til utnyttelse før offentliggjøringen. Kjører du RabbitMQ som meldingslag i en selvhostet agent- eller automatiseringsstack, er avstanden fra eksponert management-port til full overtakelse likevel ett HTTP-kall. Samtidig har vedlikeholderne tettet to kritiske feil til: en forbikjøring av TLS-klientautentisering (CVSS 9.1) og en JWKS-forfalskning som får brokeren til å godta vilkårlige JWT-er (CVSS 9.2).
Hva bør du gjøre?
- Oppgrader til 4.3.0, 4.2.6, 4.1.11, 4.0.20 eller 3.13.15, avhengig av hvilken release-linje du kjører.
- Roter OAuth-klienthemmeligheten hvis management-grensesnittet har vært eksponert mot internett. Patchen tetter lekkasjen, men henter ikke tilbake en hemmelighet som allerede er ute.
- Steng port 15672 for alt utenfor interne nett, og skill tenants på egne virtuelle hoster.