NATS-Server — это высокопроизводительный сервер для NATS.io, собственной облачной и периферийной системы обмена сообщениями. Начиная с версии 2.11.0 и до версий 2.11.15 и 2.12.6, действительный клиент, использующий заголовки трассировки сообщений, может указывать, что сообщения трассировки могут быть отправлены произвольному допустимому субъекту, включая те, на публикацию которых у клиента нет разрешения. Полезная нагрузка представляет собой допустимое сообщение трассировки и не выбрана злоумышленником.
Версии 2.11.15 и 2.12.6 содержат исправление. Никаких известных обходных путей не существует.
Показать оригинальное описание (EN)
NATS-Server is a High-Performance server for NATS.io, a cloud and edge native messaging system. Starting in version 2.11.0 and prior to versions 2.11.15 and 2.12.6, a valid client which uses message tracing headers can indicate that the trace messages can be sent to an arbitrary valid subject, including those to which the client does not have publish permission. The payload is a valid trace message and not chosen by the attacker. Versions 2.11.15 and 2.12.6 contain a fix. No known workarounds are available.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Linuxfoundation Nats-Server
cpe:2.3:a:linuxfoundation:nats-server:*:*:*:*:*:*:*:*
|
2.11.0
|
2.11.15
|
|
Linuxfoundation Nats-Server
cpe:2.3:a:linuxfoundation:nats-server:*:*:*:*:*:*:*:*
|
2.12.0
|
2.12.6
|