概述 通过HTTP API进行队列删除操作时,未验证用户的"配置"权限。
影响 满足以下所有条件的用户:
- 拥有有效凭证
- 对目标虚拟主机拥有某些权限
- 可以访问HTTP API
能够删除其没有(删除)权限的队列。
受影响的版本 erlang rabbit_common 版本 >= 3.12.7 且 < 3.12.11
已修复的版本 3.12.11
临时解决方案 禁用管理插件,并使用其他工具(例如 Prometheus 和 Grafana)进行监控。
OWASP 分类 OWASP Top10 A01:2021 – 权限控制失效
严重程度 CVSS 总体评分:7.1(高危)
- 攻击向量:网络
- 攻击复杂性:低
- 所需权限:低
- 用户交互:无
- 对脆弱系统的影响:完整性(高)
弱点 CWE-284:不正确的访问控制
参考文献