RabbitMQ HTTP API 队列删除端点未验证用户所需权限 (CVE-2024-51988)
概述
摘要
通过 HTTP API 删除队列时,系统未能验证用户的 configure 权限。
影响 满足以下所有条件的用户可以删除其没有(删除)权限的队列:
- 拥有有效的凭据。
- 对目标虚拟主机拥有某些权限。
- 拥有 HTTP API 访问权限。
受影响版本
rabbit_common (Erlang) 包版本 >= 3.12.7, < 3.12.11
已修复版本 3.12.11
缓解措施
- 禁用管理插件,并使用例如 Prometheus 和 Grafana 进行监控。
- OWASP 分类:OWASP Top10 A01:2021 – 访问控制失效。
参考资料
- GHSA-pj33-75x5-32j4
- https://www.rabbitmq.com/docs/prometheus
- https://nvd.nist.gov/vuln/detail/CVE-2024-51988
漏洞详情
严重性等级与评分
- 严重性等级: 高
- CVSS 总体评分: 7.1 / 10
CVSS v4 基础指标
可利用性指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击要求: 无
- 所需权限: 低
- 用户交互: 无
脆弱系统影响指标
- 保密性影响: 无
- 完整性影响: 高
- 可用性影响: 无
后续系统影响指标
- 保密性影响: 无
- 完整性影响: 无
- 可用性影响: 无
CVSS v4 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N
EPSS 评分
- EPSS 分数: 0.101% (第 29 百分位)
- 此分数估算此漏洞在未来 30 天内被利用的概率。
弱点
- 弱点: CWE-284
- 描述: 访问控制不当
- 产品未能正确限制或未限制未授权参与者对资源的访问。
其他信息
- CVE ID: CVE-2024-51988
- GHSA ID: GHSA-pj33-75x5-32j4
- 源代码仓库: rabbitmq/rabbitmq-server
致谢
- 报告者:
bedla - 报告者:
anhanhnguyen - 修复开发者:
michaelklishin
发布信息
- 发布者: michaelklishin
- 发布时间: 2024年11月6日
- 最后更新时间: 2024年11月7日
- 发布至: rabbitmq/rabbitmq-server