RabbitMQ HTTP API队列删除端点权限验证漏洞
漏洞概述
CVE-ID: CVE-2024-51988
严重等级: 高危
CVSS评分: 7.1/10
受影响版本
- RabbitMQ 3.12.7 至 3.12.10 版本
已修复版本
- RabbitMQ 3.12.11
漏洞详情
问题描述
通过HTTP API进行队列删除时,未验证用户的配置权限。
影响范围
满足以下所有条件的用户:
- 拥有有效凭据
- 对目标虚拟主机拥有某些权限
- 具有HTTP API访问权限
即使没有删除权限,这些用户也能删除队列。
临时解决方案
禁用管理插件,并使用其他监控方案(如Prometheus和Grafana)。
OWASP分类
OWASP Top10 A01:2021 - 访问控制失效
技术细节
CVSS v4基础指标
攻击向量: 网络
攻击复杂度: 低
攻击要求: 无
所需权限: 低
用户交互: 无
受影响系统影响指标
- 机密性: 无影响
- 完整性: 高影响
- 可用性: 无影响
后续系统影响指标
- 机密性: 无影响
- 完整性: 无影响
- 可用性: 无影响
弱点分类
CWE-284: 不恰当的访问控制
产品未限制或错误限制了未授权参与者对资源的访问。
参考链接
- GHSA-pj33-75x5-32j4
- https://www.rabbitmq.com/docs/prometheus
- https://nvd.nist.gov/vuln/detail/CVE-2024-51988
致谢
感谢以下安全研究人员:
- bedla(漏洞报告者)
- anhanhnguyen(漏洞报告者)
- michaelklishin(修复开发者)