CVE-2026-44838
HighCVSS 8.1Summary
RabbitMQ to broker wiadomości i strumieniowania. W wersjach od 4.2.0 do przed 4.2.4, wtyczka MQTT RabbitMQ umożliwia autoryzację na poziomie tematów przy użyciu wyrażeń regularnych z podstawieniem zmiennych, co pozwala na obejście autoryzacji przez uwierzytelnionego użytkownika MQTT.
Risk Assessment
Podatność ta pozwala na nieautoryzowany dostęp do tematów, co może prowadzić do ujawnienia danych lub nieautoryzowanego działania w systemie. Organizacje mogą być narażone na ataki, które wykorzystują tę lukę do manipulacji danymi.
Recommendation
Zaleca się aktualizację RabbitMQ do wersji 4.2.4 lub 4.3.0, aby usunąć tę podatność. Dodatkowo, warto przeanalizować i dostosować polityki autoryzacji w celu zwiększenia bezpieczeństwa.
Original NVD description (English source)
RabbitMQ is a messaging and streaming broker. From 4.2.0 to before 4.2.4, RabbitMQ's MQTT plugin allows for topic-level authorization using regular expressions with variable substitution. Administrators can create patterns such as ^{client_id}-sensors$ to restrict user access to topics that include their client ID. However, the client_id is provided by the user in the MQTT CONNECT packet and is inserted into the regex pattern without escaping special regex characters. This flaw enables an authenticated MQTT user to inject regex operators to bypass authorization. This vulnerability is fixed in 4.2.4 and 4.3.0.

