CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-44838

HighCVSS 8.1
Published: Updated: Translated: NVD NIST

Summary

RabbitMQ to broker wiadomości i strumieniowania. W wersjach od 4.2.0 do przed 4.2.4, wtyczka MQTT RabbitMQ umożliwia autoryzację na poziomie tematów przy użyciu wyrażeń regularnych z podstawieniem zmiennych, co pozwala na obejście autoryzacji przez uwierzytelnionego użytkownika MQTT.

Risk Assessment

Podatność ta pozwala na nieautoryzowany dostęp do tematów, co może prowadzić do ujawnienia danych lub nieautoryzowanego działania w systemie. Organizacje mogą być narażone na ataki, które wykorzystują tę lukę do manipulacji danymi.

Recommendation

Zaleca się aktualizację RabbitMQ do wersji 4.2.4 lub 4.3.0, aby usunąć tę podatność. Dodatkowo, warto przeanalizować i dostosować polityki autoryzacji w celu zwiększenia bezpieczeństwa.

Original NVD description (English source)

RabbitMQ is a messaging and streaming broker. From 4.2.0 to before 4.2.4, RabbitMQ's MQTT plugin allows for topic-level authorization using regular expressions with variable substitution. Administrators can create patterns such as ^{client_id}-sensors$ to restrict user access to topics that include their client ID. However, the client_id is provided by the user in the MQTT CONNECT packet and is inserted into the regex pattern without escaping special regex characters. This flaw enables an authenticated MQTT user to inject regex operators to bypass authorization. This vulnerability is fixed in 4.2.4 and 4.3.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS