PT-2024-35078 · Rabbitmq+1 · Rabbitmq+1
Anhanhnguyen
+1
·
Publicado
2024-11-06
·
Atualizado
2024-11-08
·
CVE-2024-51988
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do RabbitMQ anteriores à 3.12.11
Versões do RabbitMQ Tanzu anteriores à 1.5.2
Versões do RabbitMQ Tanzu anteriores à 3.13.0
Versões do RabbitMQ Tanzu anteriores à 4.0.0
Descrição
O RabbitMQ é um broker de mensagens e streaming multiprotocolo com diversos recursos. Nas versões afetadas, a exclusão de filas por meio da API HTTP não verificava a permissão
configure do usuário. Usuários que possuíam credenciais válidas, algumas permissões para o host virtual de destino e acesso à API HTTP podiam excluir filas para as quais não tinham permissões de exclusão. Esse problema foi corrigido na versão 3.12.11 da versão de código aberto do RabbitMQ e nas versões 1.5.2, 3.13.0 e 4.0.0 da versão Tanzu.Recomendações
Para versões do RabbitMQ anteriores à 3.12.11, atualize para a versão 3.12.11 ou posterior.
Para versões do RabbitMQ Tanzu anteriores à 1.5.2, atualize para a versão 1.5.2 ou posterior.
Para versões do RabbitMQ Tanzu anteriores à 3.13.0, atualize para a versão 3.13.0 ou posterior.
Para versões do RabbitMQ Tanzu anteriores à 4.0.0, atualize para a versão 4.0.0 ou posterior.
Como solução alternativa temporária, considere desativar o plug-in de gerenciamento e usar, por exemplo, o Prometheus e o Grafana para monitoramento.
Exploit
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rabbitmq
Tanzu Rabbitmq