RabbitMQ HTTP API队列删除端点权限验证漏洞
漏洞概述
CVE-ID: CVE-2024-51988
严重程度: 高危
CVSS评分: 7.1/10
技术细节
漏洞描述
通过HTTP API进行队列删除时,未验证用户的配置权限。
影响范围
满足以下所有条件的用户:
- 拥有有效凭证
- 对目标虚拟主机拥有某些权限
- 具有HTTP API访问权限
即使没有删除权限,也能够删除队列。
受影响版本
- RabbitMQ 3.12.7 至 3.12.10
已修复版本
- RabbitMQ 3.12.11
解决方案
临时缓解措施
禁用管理插件,并使用其他监控方案(如Prometheus和Grafana)。
OWASP分类
OWASP Top10 A01:2021 - 访问控制破坏
技术特征
CVSS v4基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 权限要求: 低权限
- 用户交互: 无需
- 完整性影响: 高
安全弱点
- CWE-284: 不恰当的访问控制
- 产品未限制或错误限制未授权参与者对资源的访问