NATS-Server — это высокопроизводительный сервер для NATS.io, собственной облачной и периферийной системы обмена сообщениями. До версий 2.11.15 и 2.12.6 вредоносный клиент, который может подключиться к порту WebSockets, может вызвать неограниченное использование памяти на nats-сервере перед аутентификацией; для этого требуется отправить соответствующий объем данных. Это более легкий вариант CVE-2026-27571.
Та ранняя проблема была компрессионной бомбой, а эта уязвимость — нет. Таким образом, атаки на эту новую проблему требуют значительной пропускной способности клиента. Версии 2.11.15 и 2.12.6 содержат исправление.
В качестве обходного пути отключите веб-сокеты, если они не требуются для развертывания проекта.
Показать оригинальное описание (EN)
NATS-Server is a High-Performance server for NATS.io, a cloud and edge native messaging system. Prior to versions 2.11.15 and 2.12.6, a malicious client which can connect to the WebSockets port can cause unbounded memory use in the nats-server before authentication; this requires sending a corresponding amount of data. This is a milder variant of CVE-2026-27571. That earlier issue was a compression bomb, this vulnerability is not. Attacks against this new issue thus require significant client bandwidth. Versions 2.11.15 and 2.12.6 contain a fix. As a workaround, disable websockets if not required for project deployment.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Linuxfoundation Nats-Server
cpe:2.3:a:linuxfoundation:nats-server:*:*:*:*:*:*:*:*
|
— |
2.11.15
|
|
Linuxfoundation Nats-Server
cpe:2.3:a:linuxfoundation:nats-server:*:*:*:*:*:*:*:*
|
2.12.0
|
2.12.6
|