Na czym polega zagrożenie?
Problem dotyczy przestarzałego punktu końcowego w internetowym interfejsie zarządzania RabbitMQ. W określonych konfiguracjach, w których administrator ustawił poufne hasło do uwierzytelniania dostawcy tożsamości, interfejs ten udostępnia tajny klucz klienta OAuth (OAuth client secret) każdemu użytkownikowi, nawet bez konieczności logowania.
Każdy, kto ma dostęp do portu zarządzania, może pobrać ten klucz. W sytuacjach, gdy mechanizm OAuth pozwala na jego wykorzystanie, atakujący może podszyć się pod brokera przed dostawcą tożsamości i uzyskać token administratora.
W środowiskach korzystających z popularnych dostawców OAuth 2/OIDC, takich jak Auth0, Azure AD/Entra ID, Keycloak czy UAA, przejęcie tego tokena daje napastnikowi pełną kontrolę nad użytkownikami, wiadomościami, kolejkami oraz ustawieniami brokera. Ryzyko jest szczególnie wysokie w przypadku systemów chmurowych, środowisk wielodostępnych (multi-tenant) oraz sytuacji, w których panel zarządzania został przypadkowo wystawiony na dostęp z publicznego internetu.
Kogo dotyczy problem?
Warto zaznaczyć, że nie wszystkie wdrożenia RabbitMQ są zagrożone. Problem nie występuje, jeśli:
Podatność została wprowadzona na początku 2024 roku w wersji 3.13.0. Producent wydał już poprawki w wersjach 4.3.0, 4.2.6, 4.1.11, 4.0.20 oraz 3.13.15.
Dodatkowe ryzyko i zalecenia
Wraz z główną luką, aktualizacje rozwiązują również problem o średnim stopniu zagrożenia (CVE-2026-57221, wynik CVSS 5.3). Pozwala on uwierzytelnionemu użytkownikowi na przeglądanie kolejek i wymian oraz odczytywanie ich statystyk. Może to posłużyć do mapowania infrastruktury organizacji i zbierania danych wywiadowczych przed bardziej zaawansowanym atakiem.
Eksperci z Miggo podkreślają, że błędy te nie są egzotyczne – tkwiły w kodzie przez ponad dwa lata, co pokazuje, jak systemowe niespójności mogą umykać nawet w dojrzałym oprogramowaniu. Organizacjom zaleca się:
Obecnie nie ma dowodów na to, aby wspomniane luki były aktywnie wykorzystywane przez cyberprzestępców w rzeczywistych atakach.

