Siber güvenlik araştırmacıları, popüler mesaj kuyruğu hizmeti RabbitMQ'yu etkileyen iki erişim kontrolü açığını gün ışığına çıkardı. Bu açıklar, saldırganların OAuth istemci sırlarını sızdırmasına, kurumsal mesajlaşma altyapısının ele geçirilmesine ve kiracı sınırlarının aşılmasına olanak tanıyor. Miggo güvenlik ekibi tarafından keşfedilen ve bildirilen bu güvenlik zafiyetleri, RabbitMQ'nun 3.13.0 ve sonraki sürümlerini etkiliyor.
Açıklardan ilki olan CVE-2026-57219 (CVSS 8.7), RabbitMQ'nun OAuth 2 yapılandırmasında kullanılan eski bir HTTP API uç noktasından ('GET /api/auth') kaynaklanıyor. Bu uç nokta, saldırganın tek bir istekle broker'ın gizli OAuth istemci sırrını elde etmesine olanak tanıyor. Elde edilen sır, yönetici token'ı ile takas edilerek tüm mesajlar, kuyruklar, kullanıcılar ve broker ayarları üzerinde tam kontrol sağlanabiliyor.
İkinci açık olan CVE-2026-57221 (CVSS 5.3) ise, yetkilendirme eksikliğinden kaynaklanıyor. Bu açık sayesinde, sanal bir ana bilgisayara bağlanabilen herhangi bir kimliği doğrulanmış kullanıcı, gerçek izinlerine bakılmaksızın o sanal ana bilgisayardaki tüm kuyruk ve exchange adlarını listeleyebiliyor, ayrıca kuyruk mesaj sayılarını ve tüketici sayılarını okuyabiliyor. Bu durum, özellikle çoklu kiracı ortamlarında veri sızmasına yol açabiliyor.
Miggo araştırmacıları, CVE-2026-57219 için 'uç noktanın yetkilendirme kontrolü, diğer tüm hassas yönetim uç noktalarının aksine, isteğe her zaman izin verecek şekilde sabit kodlanmıştı' açıklamasında bulundu. Riskin en yüksek olduğu durumlar, yönetim portunun güvenilmeyen bir ağdan erişilebilir olduğu bulut veya çoklu kiracı kurulumları ile yanlışlıkla internete açılan yönetim arayüzleridir.
Uzmanların Görüşleri
RabbitMQ bakımcıları, bu açıkların yanı sıra iki kritik seviyeli güvenlik açığını daha düzeltti. Bunlardan biri TLS istemci kimlik doğrulamasını atlamaya (CVSS 9.1), diğeri ise ortadaki adam (AitM) konumundaki bir saldırganın JSON Web Anahtar Seti (JWKS) yanıtlarını taklit ederek broker'ın keyfi JWT'leri kabul etmesine (CVSS 9.2) olanak tanıyordu. Tüm bu açıklar, 4.3.0, 4.2.6, 4.1.11, 4.0.20 ve 3.13.15 sürümlerinde giderildi.
Sistem Güvenliği
Kullanıcıların en kısa sürede güncelleme yapmaları öneriliyor. Ayrıca, yönetim arayüzü internete açıksa OAuth istemci sırrının döndürülmesi, 15672 numaralı porta erişimin kısıtlanması, kiracıların sanal ana bilgisayarlarla ayrılması ve yamalanmamış örneklerde güvenlik açığı bulunan uç noktaya erişimi engellemek için güvenlik duvarı kuralları uygulanması tavsiye ediliyor.
Kaynak: thehackernews.com