Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

LabubaRAT se hace pasar por el software de NVIDIA para controlar los hosts de Windows

Reduzca su impacto (incluso si es hermoso) comprando RingConn 3

La verdadera carrera de la IA puede que ya no sea la frontera

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»La falla de RabbitMQ podría filtrar secretos de OAuth y exponer metadatos de colas entre inquilinos
Identidad

La falla de RabbitMQ podría filtrar secretos de OAuth y exponer metadatos de colas entre inquilinos

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 14, 2026No hay comentarios3 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Ravi Lakshmanan14 de julio de 2026Vulnerabilidad/Seguridad de la red

Los investigadores de ciberseguridad han detallado dos fallas relacionadas con el control de acceso que afectan al servicio de intermediación de mensajes RabbitMQ. Estas fallas podrían permitir a los atacantes comprometer los secretos de los clientes de OAuth, poniendo en riesgo la infraestructura de mensajería corporativa y eludiendo los límites de los inquilinos.

El equipo de seguridad de Miggo, que descubrió e informó la falla, dijo: «Una sola solicitud puede filtrar el secreto OAuth sensible de un corredor a un atacante no autenticado, proporcionando un camino directo para completar la toma de control del corredor en cualquier configuración que use ese secreto». La segunda vulnerabilidad permite a los usuarios que han iniciado sesión leer silenciosamente datos de otros inquilinos.

Ambas fallas han estado presentes en el código base desde principios de 2024 y se dice que afectaron las líneas de lanzamiento de RabbitMQ a partir de 3.13.0. Estos se abordan en las versiones 4.3.0, 4.2.6, 4.1.11, 4.0.20 y 3.13.15. No hay evidencia de que alguna de las vulnerabilidades haya sido explotada activamente antes de la publicación.

A continuación se ofrece una breve explicación de los dos defectos.

CVE-2026-57219 (puntuación CVSS: 8,7): punto final de API HTTP obsoleto («GET /api/auth»). Esto revela el secreto del cliente en una instalación de RabbitMQ donde OAuth 2 está configurado para usar la clave de configuración Management.oauth_client_secret, lo que permite a un atacante intercambiarla por un token de administrador y obtener control total de todos los mensajes, colas, usuarios y configuraciones del agente. CVE-2026-57221 (puntuación CVSS: 5,3): los permisos faltantes permiten a un usuario autenticado que puede conectarse a un host virtual enumerar todas las colas, intercambiar nombres dentro de ese host virtual y leer recuentos de mensajes y consumidores para las colas, independientemente de los privilegios reales.

Con respecto a CVE-2026-57219, Miggo dijo: «A diferencia de otros puntos finales administrativos sensibles, la verificación de autorización del punto final estaba codificada para permitir siempre la solicitud». «El riesgo es mayor en ubicaciones donde las redes no confiables pueden llegar a los puertos de administración, como en la nube o en configuraciones multiinquilino, o en las UI de administración que se exponen inadvertidamente a Internet».

Además de aplicar parches a la última versión, recomendamos rotar los secretos del cliente OAuth si se puede acceder a la interfaz de administración a través de Internet, restringir el acceso al puerto 15672 para que no se pueda acceder a la interfaz de administración a través de la red, aislar a los inquilinos por host virtual e implementar reglas de firewall para bloquear el acceso a puntos finales vulnerables en instancias sin parches.

Esta divulgación se produce después de que los mantenedores de RabbitMQ abordaran dos fallas de gravedad (puntuación CVSS: 9,2) que podrían conducir a una omisión de autenticación del cliente TLS (puntuación CVSS: 9,1) y permitir que un atacante adversario intermediario (AitM) falsifique una respuesta de conjunto de claves web JSON (JWKS) para engañar a un corredor para que acepte JWT arbitrarios.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous Article11 Shims UEFI de Linux obsoletos firmados por Microsoft podrían permitir a los atacantes evitar el arranque seguro
Next Article La nueva función de borrador automático de Superhuman hace que sea más probable que te encanten las respuestas de IA
corp@blsindustriaytecnologia.com
  • Website

Related Posts

LabubaRAT se hace pasar por el software de NVIDIA para controlar los hosts de Windows

julio 14, 2026

11 Shims UEFI de Linux obsoletos firmados por Microsoft podrían permitir a los atacantes evitar el arranque seguro

julio 14, 2026

Un estudio de 85 extensiones de billeteras criptográficas revela riesgos de fuga de direcciones y seguimiento entre sitios

julio 14, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

LabubaRAT se hace pasar por el software de NVIDIA para controlar los hosts de Windows

Reduzca su impacto (incluso si es hermoso) comprando RingConn 3

La verdadera carrera de la IA puede que ya no sea la frontera

Se aprueban 659 millones de euros de ayuda estatal alemana para cuatro nuevas instalaciones de semiconductores

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.