RabbitMQ исправил две уязвимости контроля доступа, затрагивающие широко используемый брокер сообщений с открытым исходным кодом, которые могут раскрыть корпоративные данные приложений и, в некоторых развертываниях, позволить злоумышленникам получить полный контроль над инфраструктурой обмена сообщениями.
Уязвимости, обнаруженные Miggo Security, раскрывали секреты OAuth неаутентифицированным злоумышленникам, позволяя пользователям с низкими привилегиями потенциально шпионить за другими арендаторами.
«RabbitMQ — это та «водопроводная система», которая перемещает данные между сервисами внутри современных приложений: заказы, платежи, события аутентификации, внутренние уведомления, — объяснили исследователи Miggo в отчете, переданном CSO перед публикацией в понедельник. — RabbitMQ загружается более 15 миллионов раз в год, и масштаб делает его ценной целью».
Затрагивающие RabbitMQ выпуски, начиная с версии 3.13.0, представленной в начале 2024 года, уязвимости теперь исправлены во всех поддерживаемых версиях.
Устаревшая конечная точка раскрывала конфигурации OAuth
Более серьезная проблема, отслеживаемая как CVE-2026-57219, позволяет любому, имеющему сетевой доступ к интерфейсу управления RabbitMQ, получить секрет клиента OAuth брокера без аутентификации.
Уязвимость проистекает из устаревшей конечной точки управления «GET/api/auth» которая возвращала конфигурацию OAuth RabbitMQ, включающую конфиденциальный секрет клиента OAuth брокера, любому, кто ее запрашивал. В развертываниях, использующих конфиденциальные клиенты OAuth с такими провайдерами, как Microsoft Entra ID, Auth0, Keycloak или UAA, злоумышленники могли обменять раскрытый секрет на токен администратора и получить полный контроль над брокером.
Проблеме был присвоен высокий уровень серьезности — CVSS 8.7 из 10, и она была исправлена в версиях 3.13.15, 4.0.20, 4.1.11 и 4.2.6.
Сообщается, что RabbitMQ решил проблему, полностью удалив устаревшую конечную точку, вместо этого доставляя конфигурацию OAuth через аутентифицированный механизм начальной загрузки, который больше не раскрывает секрет клиента по HTTP.
По словам Miggo, успешная эксплуатация может позволить злоумышленникам получать доступ к сообщениям или изменять их, создавать пользователей, изменять конфигурацию брокера и фактически скомпрометировать уровень обмена сообщениями, поддерживающий корпоративные приложения. Компания рекомендовала организациям немедленно обновить ПО, сменить все раскрытые секреты клиента OAuth после установки исправлений и обеспечить, чтобы интерфейс управления никогда не был доступен из ненадежных сетей.
Broadcom, чье подразделение Tanzu поддерживает RabbitMQ, не сразу ответил на запрос CSO о комментарии.
Обход авторизации для разведки
Вторая уязвимость, CVE-2026-57221, представляет собой обход авторизации, затрагивающий операции пассивного объявления очередей и обменов RabbitMQ.
Хотя для эксплуатации злоумышленникам нужны действительные учетные данные, даже учетные записи без назначенных разрешений могут узнать, существуют ли очереди и обмены, и получить метаданные, такие как количество сообщений и активные потребители, поскольку проверка разрешений пропускается.
Miggo отметил, что уязвимость не раскрывает содержимое сообщений и не позволяет вносить изменения, но она может утечь ценную операционную информацию в средах с общим доступом. Исследователи добавили, что злоумышленники могли бы картографировать приложения, отслеживать активность рабочих нагрузок и проводить разведку для последующих атак на других арендаторов, использующих тот же виртуальный хост.
RabbitMQ исправил проблему, обеспечив, чтобы пассивные объявления очередей и обменов теперь применяли те же проверки авторизации, что и другие операции. Поскольку для этой уязвимости нет обходного пути конфигурации или смягчения с помощью WAF смягчения, организациям рекомендовано обновить ПО до исправленной версии и изолировать арендаторов в отдельных виртуальных хостах до завершения установки исправлений.
Miggo сообщил, что эти уязвимости являются первыми CVE, обнаруженными его автономной платформой исследования безопасности VulnHunter, после чего они были проверены его командой безопасности и раскрыты мейнтейнерам RabbitMQ, которые, как сообщается, подтвердили проблемы и выпустили исправления.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma




