漏洞概述

CVE-2024-51988 是一个在 RabbitMQ 中发现的、被评定为 高危 级别的安全漏洞。该漏洞存在于 RabbitMQ 服务器的 HTTP API 队列删除端点中。

核心问题

漏洞的根本原因是：通过 HTTP API 进行队列删除操作时，未验证用户是否拥有必需的 configure 权限。

影响范围

受影响的版本： RabbitMQ 3.12.7 至 3.12.11 之前的所有版本。 已修复的版本： 3.12.11。

漏洞影响

满足以下所有条件的用户，可以删除其本无（删除）权限的队列：

1. 拥有有效的身份凭证。
2. 对目标虚拟主机（vhost）拥有部分权限。
3. 拥有 HTTP API 访问权限。

缓解措施与解决方案

• 官方修复：升级到 RabbitMQ 版本 3.12.11 或更高版本。
• 临时变通方案：禁用 RabbitMQ 的管理插件，并使用其他监控解决方案（例如 Prometheus 和 Grafana）进行替代监控。

安全分类

此漏洞被归类为 OWASP Top 10 A01:2021 – 失效的访问控制。其通用弱点枚举（CWE）标识为 CWE-284：不正确的访问控制，即产品未能正确限制未授权参与者对资源的访问。

技术详情

• CVSS 4.0 总体评分：7.1（高危）

• CVSS 4.0 向量：CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

• 主要影响指标：

  • 攻击途径：网络
  • 攻击复杂度：低
  • 所需权限：低
  • 用户交互：无
  • 对易受攻击系统的影响：完整性（高）

• EPSS 评分：0.101%（预计未来30天内被利用的概率较低，位于第29百分位）

参考链接

• GitHub 安全公告：GHSA-pj33-75x5-32j4
• RabbitMQ Prometheus 监控文档：https://www.rabbitmq.com/docs/prometheus
• NVD 漏洞详情：https://nvd.nist.gov/vuln/detail/CVE-2024-51988

致谢

此漏洞由 bedla 和 anhanhnguyen 报告，并由 michaelklishin 负责修复开发。