Siber güvenlik araştırmacıları, popüler mesaj kuyruğu yazılımı RabbitMQ'da iki önemli erişim kontrolü açığı keşfetti. Bu açıklar, saldırganların OAuth istemci sırlarını ele geçirmesine, kurumsal mesajlaşma altyapısının ele geçirilmesine ve kiracı sınırlarının aşılmasına olanak tanıyabiliyor. Miggo güvenlik ekibi tarafından tespit edilen bu zafiyetler, özellikle bulut tabanlı ve çoklu kiracı ortamlarında ciddi riskler oluşturuyor.
İlk güvenlik açığı (CVE-2026-57219, CVSS 8.7), RabbitMQ'nun OAuth 2.0 yapılandırmasında kullanılan 'management.oauth_client_secret' anahtarını hedef alıyor. Eski bir HTTP API uç noktası olan 'GET /api/auth', kimlik doğrulaması yapılmamış bir saldırganın tek bir istekle broker'ın gizli OAuth istemci sırrını elde etmesine izin veriyor. Bu sır, yönetici token'ı ile değiştirilerek tüm mesajlara, kuyruklara, kullanıcılara ve broker ayarlarına tam erişim sağlanabiliyor. Açık, RabbitMQ'nun 3.13.0 ve sonraki sürümlerini etkiliyor.
İkinci güvenlik açığı (CVE-2026-57221, CVSS 5.3) ise yetkilendirme eksikliğinden kaynaklanıyor. Kimliği doğrulanmış herhangi bir kullanıcı, bir sanal ana bilgisayara (virtual host) bağlanarak, gerçek izinlerine bakılmaksızın o sanal ana bilgisayardaki tüm kuyruk ve exchange isimlerini listeleyebiliyor, ayrıca kuyruk mesaj sayılarını ve tüketici sayılarını okuyabiliyor. Bu, çoklu kiracı ortamlarında veri sızıntısına yol açarak kiracılar arası veri gizliliğini ihlal ediyor.
Miggo araştırmacıları, CVE-2026-57219 için 'Uç noktanın yetkilendirme kontrolü, diğer hassas yönetim uç noktalarının aksine, her zaman isteğe izin verecek şekilde sabit kodlanmıştı' açıklamasını yaptı. Risk, yönetim portunun güvenilmeyen bir ağdan erişilebilir olduğu durumlarda en yüksek seviyeye çıkıyor: bulut veya çoklu kiracı kurulumları ya da internete yanlışlıkla açık bırakılmış bir yönetim arayüzü.
Uzmanların Görüşleri
Her iki güvenlik açığı da 2024 başından beri kod tabanında bulunuyor ve RabbitMQ'nun 3.13.0 ve sonraki sürümlerini etkiliyor. RabbitMQ, bu zafiyetleri 4.3.0, 4.2.6, 4.1.11, 4.0.20 ve 3.13.15 sürümlerinde giderdi. Kamuoyuna duyurulmadan önce bu açıkların aktif olarak istismar edildiğine dair bir kanıt bulunmuyor. Ancak kullanıcıların en kısa sürede güncelleme yapmaları öneriliyor.
Bu açıklarla birlikte RabbitMQ bakımcıları, iki kritik seviyedeki güvenlik açığını da düzeltti. Bunlardan ilki (CVSS 9.1) TLS istemci kimlik doğrulamasını atlatmaya izin verirken, ikincisi (CVSS 9.2) ortadaki adam (AitM) saldırganının JSON Web Anahtar Kümesi (JWKS) yanıtlarını taklit ederek broker'ın keyfi JWT'leri kabul etmesine neden olabiliyor.
Kullanıcıların korunmak için en son sürüme güncelleme yapmaları, yönetim arayüzü internete açıksa OAuth istemci sırrını döndürmeleri, 15672 numaralı porta erişimi kısıtlamaları, kiracıları sanal ana bilgisayarlarla ayırmaları ve güncellenmemiş sistemlerde güvenlik açığı bulunan uç noktaya erişimi engellemek için güvenlik duvarı kuralları uygulamaları öneriliyor.
Kaynak: thehackernews.com