Cybersecurity-onderzoekers hebben details onthuld van twee aan toegangscontrole gerelateerde fouten die van invloed zijn op de RabbitMQ message broker-service. Hierdoor kunnen aanvallers OAuth-clientgeheimen lekken, de berichteninfrastructuur van bedrijven blootstellen aan overnamerisico’s en de grenzen van tenants omzeilen.
Het beveiligingsteam van Miggo, dat de fouten ontdekte en rapporteerde, zei dat men “het vertrouwelijke OAuth-geheim van de makelaar in één verzoek lekt naar een niet-geverifieerde aanvaller, een direct pad naar volledige overname door de makelaar in de configuraties die dat geheim gebruiken.” Door het tweede beveiligingslek kan elke ingelogde gebruiker stilletjes de gegevens van andere tenants lezen.
Beide tekortkomingen zouden sinds begin 2024 in de codebase aanwezig zijn, wat gevolgen had voor de releaseregels van RabbitMQ vanaf 3.13.0 en hoger. Ze zijn verholpen in versies 4.3.0, 4.2.6, 4.1.11, 4.0.20 en 3.13.15. Er is geen bewijs van actieve exploitatie van een van de kwetsbaarheden voorafgaand aan de publieke bekendmaking.
Een korte beschrijving van de twee tekortkomingen vindt u hieronder:
- CVE-2026-57219 (CVSS-score: 8,7) – Een verouderd HTTP API-eindpunt (“GET /api/auth”) dat clientgeheim onthult op RabbitMQ-installaties waarbij OAuth 2 was geconfigureerd om de configuratiesleutel management.oauth_client_secret te gebruiken, waardoor een aanvaller deze kan inwisselen voor een beheerdertoken en volledige controle kan krijgen over elk bericht, wachtrij, gebruiker en brokerinstelling.
- CVE-2026-57221 (CVSS-score: 5.3) – Een ontbrekende autorisatie waarmee elke geverifieerde gebruiker die verbinding kan maken met een virtuele host alle wachtrijen kan opsommen en namen in die virtuele host kan uitwisselen en het aantal berichten in de wachtrij en het aantal consumenten kan lezen, ongeacht hun feitelijke machtigingen.

“De autorisatiecontrole van het eindpunt was hardgecodeerd om het verzoek altijd toe te staan, in tegenstelling tot elk ander gevoelig beheereindpunt”, zei Miggo over CVE-2026-57219. “Het risico is het grootst waar de beheerpoort bereikbaar is via een niet-vertrouwd netwerk: cloud- of multi-tenant-opstellingen, of een beheer-UI die per ongeluk wordt blootgesteld aan internet.”
Naast het patchen naar de nieuwste versies, wordt geadviseerd om het OAuth-clientgeheim te roteren als de beheerinterface via internet bereikbaar is, de toegang tot poort 15672 te beperken om te voorkomen dat de beheerinterface via het netwerk bereikbaar is, tenants te scheiden per virtuele host en firewallregels te implementeren om de toegang tot het kwetsbare eindpunt op niet-gepatchte instanties te blokkeren.
De onthulling komt op het moment dat de beheerders van RabbitMQ twee kritieke fouten hebben aangepakt die zouden kunnen resulteren in een omzeiling van de TLS-clientauthenticatie (CVSS-score: 9,1) en een aanvaller in een tegenstander-in-the-middle-positie (AitM) in staat zouden stellen JSON Web Key Set (JWKS)-reacties te vervalsen en ervoor te zorgen dat de makelaar willekeurige JWT’s accepteert (CVSS-score: 9,2).