PT-2022-16706 · Unknown · Nats Streaming Server+1
Gerardo Iglesias
+1
·
Publicado
2022-02-08
·
Atualizado
2024-08-21
·
CVE-2022-24450
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do NATS Server anteriores à 2.7.2
Versões do NATS Streaming Server anteriores à 0.24.1
Descrição
O problema está relacionado a um controle de acesso incorreto no NATS nats-server, onde qualquer usuário autenticado pode obter os privilégios da conta do sistema ao fazer uso indevido do recurso de “contas sandbox provisionadas dinamicamente”. Isso se deve a um erro de codificação em um recurso experimental que permitia que os clientes se autenticassem em qualquer conta. Um cliente pode manipular o handshake inicial no nível do protocolo para alternar para qualquer outra conta, incluindo a conta do sistema, que controla as operações centrais do nats-server. Para implantações que não utilizam multilocação, usuários normais podem optar por acessar a conta do sistema.
Recomendações
Para versões do NATS Server anteriores à 2.7.2, atualize para a versão 2.7.2 ou posterior.
Para versões do NATS Streaming Server anteriores à 0.24.1, atualize para a versão 0.24.1 ou posterior.
Correção
Incorrect Authorization
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Nats Server
Nats Streaming Server