NATS-Server — это высокопроизводительный сервер для NATS.io, собственной облачной и периферийной системы обмена сообщениями. До версий 2.11.15 и 2.12.6 заголовок сообщения NATS «Nats-Request-Info:» должен был служить гарантией идентификации сервера NATS, но удаление этого заголовка из входящих сообщений не было полностью эффективным. Таким образом, злоумышленник с действительными учетными данными для любого обычного клиентского интерфейса может подделать свою личность службам, которые полагаются на этот заголовок.
Версии 2.11.15 и 2.12.6 содержат исправление. Никаких известных обходных путей не существует.
Показать оригинальное описание (EN)
NATS-Server is a High-Performance server for NATS.io, a cloud and edge native messaging system. Prior to versions 2.11.15 and 2.12.6, the NATS message header `Nats-Request-Info:` is supposed to be a guarantee of identity by the NATS server, but the stripping of this header from inbound messages was not fully effective. An attacker with valid credentials for any regular client interface could thus spoof their identity to services which rely upon this header. Versions 2.11.15 and 2.12.6 contain a fix. No known workarounds are available.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Linuxfoundation Nats-Server
cpe:2.3:a:linuxfoundation:nats-server:*:*:*:*:*:*:*:*
|
— |
2.11.15
|
|
Linuxfoundation Nats-Server
cpe:2.3:a:linuxfoundation:nats-server:*:*:*:*:*:*:*:*
|
2.12.0
|
2.12.6
|