CVE-2026-33217 Linuxfoundation — эксплойт и детали уязвимости HIGH

CVE-2026-33217

HIGH CVSS 3.1: 6,5 EPSS 0.03%

Параметр	Значение
CVSS	6,5 (HIGH)
Уязвимые версии	2.12.0 — 2.12.6
Устранено в версии	2.11.15
Тип уязвимости	CWE-863 (Неправильная авторизация)
Поставщик	Linuxfoundation
Публичный эксплойт	Нет

NATS-Server — это высокопроизводительный сервер для NATS.io, собственной облачной и периферийной системы обмена сообщениями. До версий 2.11.15 и 2.12.6 при использовании списков ACL для субъектов сообщений эти списки ACL не применялись в пространстве имен $MQTT.>`, что позволяло клиентам MQTT обходить проверки ACL для субъектов MQTT. Версии 2.11.15 и 2.12.6 содержат исправление.

Никаких известных обходных путей не существует.

Показать оригинальное описание (EN)

NATS-Server is a High-Performance server for NATS.io, a cloud and edge native messaging system. Prior to versions 2.11.15 and 2.12.6, when using ACLs on message subjects, these ACLs were not applied in the `$MQTT.>` namespace, allowing MQTT clients to bypass ACL checks for MQTT subjects. Versions 2.11.15 and 2.12.6 contain a fix. No known workarounds are available.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Низкое

Частичная утечка данных

Целостность

Низкое

Частичная модификация данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-863 Incorrect Authorization (Неправильная авторизация)

Уязвимые продукты 2

Конфигурация	От (включительно)	До (исключительно)
Linuxfoundation Nats-Server cpe:2.3:a:linuxfoundation:nats-server::::::::	—	`2.11.15`
Linuxfoundation Nats-Server cpe:2.3:a:linuxfoundation:nats-server::::::::	`2.12.0`	`2.12.6`