Pesquisadores de cibersegurança divulgaram detalhes de duas falhas relacionadas ao controle de acesso no serviço de barramento de mensagens RabbitMQ.
Os problemas podem permitir que invasores vazem segredos de clientes OAuth, exponham a infraestrutura corporativa de mensagens ao risco de comprometimento e ultrapassem fronteiras entre tenants.
A equipe de segurança da Miggo, responsável por encontrar e relatar as falhas, afirmou que uma delas “vaza o segredo confidencial OAuth do broker para um atacante não autenticado em uma única requisição, um caminho direto para o comprometimento total do broker nas configurações que usam esse segredo”.
A segunda vulnerabilidade permite que qualquer usuário autenticado leia silenciosamente os dados de outros tenants.
Segundo a empresa, ambas as falhas estavam presentes na base de código desde o início de 2024 e afetam as versões do RabbitMQ a partir da 3.13.0.
Os problemas foram corrigidos nas versões 4.3.0, 4.2.6, 4.1.11, 4.0.20 e 3.13.15.
Até o momento, não há evidências de exploração ativa antes da divulgação pública.
A seguir, um resumo das duas falhas:
CVE-2026-57219
, com pontuação CVSS de 8,7, envolve um endpoint HTTP obsoleto, o GET /api/auth, que revela o segredo do cliente em instalações do RabbitMQ configuradas com OAuth 2 e a chave de configuração management.oauth_client_secret.
Com isso, um invasor pode trocar esse valor por um token de administrador e assumir o controle total de todas as mensagens, filas, usuários e configurações do broker.
CVE-2026-57221
, com pontuação CVSS de 5,3, decorre da ausência de autorização.
Ela permite que qualquer usuário autenticado que consiga se conectar a um host virtual enumere todos os nomes de filas e exchanges nesse host virtual, além de ler a quantidade de mensagens nas filas e o número de consumidores, independentemente dos privilégios reais.
A Miggo afirmou sobre a
CVE-2026-57219
que “a verificação de autorização do endpoint foi codificada manualmente para sempre permitir a requisição, ao contrário de todos os outros endpoints de gerenciamento sensíveis”.
“O risco é maior quando a porta de gerenciamento está acessível a uma rede não confiável, como em ambientes na cloud ou em configurações multitenant, ou quando a interface de gerenciamento é exposta por engano à internet.”
Além de atualizar para as versões mais recentes, a recomendação é rotacionar o segredo do cliente OAuth se a interface de gerenciamento estiver acessível pela internet, restringir o acesso à porta 15.672 para impedir que a interface de gerenciamento fique acessível pela rede, separar tenants por meio de host virtual e aplicar regras de firewall para bloquear o acesso ao endpoint vulnerável em instâncias ainda sem patch.
A divulgação ocorre no mesmo período em que os mantenedores do RabbitMQ corrigiram duas falhas de gravidade crítica que poderiam levar a uma evasão de autenticação de cliente TLS, com pontuação CVSS de 9,1, e permitir que um invasor em posição de adversary-in-the-middle forjasse respostas do JSON Web Key Set, ou JWKS, e fizesse o broker aceitar JWTs arbitrários, com pontuação CVSS de 9,2.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...