
Los investigadores de ciberseguridad han detallado dos fallas relacionadas con el control de acceso que afectan al servicio de intermediación de mensajes RabbitMQ. Estas fallas podrían permitir a los atacantes comprometer los secretos de los clientes de OAuth, poniendo en riesgo la infraestructura de mensajería corporativa y eludiendo los límites de los inquilinos.
El equipo de seguridad de Miggo, que descubrió e informó la falla, dijo: «Una sola solicitud puede filtrar el secreto OAuth sensible de un corredor a un atacante no autenticado, proporcionando un camino directo para completar la toma de control del corredor en cualquier configuración que use ese secreto». La segunda vulnerabilidad permite a los usuarios que han iniciado sesión leer silenciosamente datos de otros inquilinos.
Ambas fallas han estado presentes en el código base desde principios de 2024 y se dice que afectaron las líneas de lanzamiento de RabbitMQ a partir de 3.13.0. Estos se abordan en las versiones 4.3.0, 4.2.6, 4.1.11, 4.0.20 y 3.13.15. No hay evidencia de que alguna de las vulnerabilidades haya sido explotada activamente antes de la publicación.
A continuación se ofrece una breve explicación de los dos defectos.
CVE-2026-57219 (puntuación CVSS: 8,7): punto final de API HTTP obsoleto («GET /api/auth»). Esto revela el secreto del cliente en una instalación de RabbitMQ donde OAuth 2 está configurado para usar la clave de configuración Management.oauth_client_secret, lo que permite a un atacante intercambiarla por un token de administrador y obtener control total de todos los mensajes, colas, usuarios y configuraciones del agente. CVE-2026-57221 (puntuación CVSS: 5,3): los permisos faltantes permiten a un usuario autenticado que puede conectarse a un host virtual enumerar todas las colas, intercambiar nombres dentro de ese host virtual y leer recuentos de mensajes y consumidores para las colas, independientemente de los privilegios reales.

Con respecto a CVE-2026-57219, Miggo dijo: «A diferencia de otros puntos finales administrativos sensibles, la verificación de autorización del punto final estaba codificada para permitir siempre la solicitud». «El riesgo es mayor en ubicaciones donde las redes no confiables pueden llegar a los puertos de administración, como en la nube o en configuraciones multiinquilino, o en las UI de administración que se exponen inadvertidamente a Internet».
Además de aplicar parches a la última versión, recomendamos rotar los secretos del cliente OAuth si se puede acceder a la interfaz de administración a través de Internet, restringir el acceso al puerto 15672 para que no se pueda acceder a la interfaz de administración a través de la red, aislar a los inquilinos por host virtual e implementar reglas de firewall para bloquear el acceso a puntos finales vulnerables en instancias sin parches.
Esta divulgación se produce después de que los mantenedores de RabbitMQ abordaran dos fallas de gravedad (puntuación CVSS: 9,2) que podrían conducir a una omisión de autenticación del cliente TLS (puntuación CVSS: 9,1) y permitir que un atacante adversario intermediario (AitM) falsifique una respuesta de conjunto de claves web JSON (JWKS) para engañar a un corredor para que acepte JWT arbitrarios.
Source link
