PT-2025-15666 · Unknown+1 · Nats Server+1
Zarqman
·
Publicado
2025-01-01
·
Atualizado
2025-04-22
·
CVE-2025-30215
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do NATS-Server de 2.2.0 a 2.10.27
Versões do NATS-Server anteriores a 2.11.1
Descrição
O problema está relacionado à ausência de controles de acesso para a API JetStream no NATS-Server, permitindo que qualquer usuário com permissões de gerenciamento de JS em qualquer conta execute determinadas ações administrativas em qualquer ativo JS em qualquer outra conta. Pelo menos uma das APIs desprotegidas permite a destruição de dados. Nenhuma das APIs afetadas permite a divulgação do conteúdo do stream.
Recomendações
Para versões de 2.2.0 a 2.10.27, atualize para a versão 2.10.27 ou posterior.
Para versões anteriores a 2.11.1, atualize para a versão 2.11.1 ou posterior.
Como solução temporária, considere restringir o acesso à API JetStream para minimizar o risco de exploração.
Exploit
Correção
LPE
Improper Authentication
Improper Authorization
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Nats Server