RabbitMQ 权限验证绕过漏洞(CVE-2024-51988)预警
1、基本情况
RabbitMQ 是一个开源的、基于 AMQP(高级消息队列协议)的消息代理软件。它允许应用程序通过消息队列进行异步通信,实现解耦、负载均衡、消息持久化等功能。
近日,监测发现 RabbitMQ 官方发布安全公告,修复了 RabbitMQ权限验证绕过漏洞(CVE-2024-51988),当 RabbitMQ 的 HTTP API 在执行队列删除操作时,由于未充分验证用户的 configure 权限,拥有HTTP API 访问凭据但不具有队列删除权限的攻击者可绕过权限限制,通过DELETE /api/queues/{vhost}/{name}请求删除其不具备删除权限的队列。
建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
受影响版本
⚫ Open source RabbitMQ >= 3.12.11
⚫ Tanzu RabbitMQ >= 1.5.2
⚫ Tanzu RabbitMQ >= 3.13.0
⚫ Tanzu RabbitMQ >= 4.0.0
3、处置建议
目前这些漏洞已经修复,受影响用户可升级到安全版本。
下载链接:https://www.rabbitmq.com/
4、参考链接
1) https://www.cve.org/CVERecord?id=CVE-2024-51988
2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-51988