RabbitMQ曝出高危漏洞!OAuth密钥泄露可完全接管服务,多租户队列数据存在跨域泄露风险
RabbitMQ作为企业级主流消息中间件,广泛应用于微服务、云平台、多租户业务系统,承载大量订单、用户、业务核心消息数据。近期安全团队披露两款影响RabbitMQ3.13.0及以上版本的访问控制漏洞,其中高危漏洞无需登录即可窃取OAuth客户端密钥,实现服务全权限接管;另一中危漏洞会破坏租户隔离机制,任意登录用户可窥探其他租户队列元数据。两款漏洞自2024年初潜伏至今,大量云上、多租户部署实例存在安全隐患,企业需立即排查版本并落实修复措施。

一、两大漏洞核心危害与技术细节
1、CVE-2026-57219(CVSS8.7,高危):无认证泄露OAuth密钥,全盘接管消息服务
该漏洞根源为废弃API接口GET/api/auth授权校验逻辑硬编码放行,未做身份验证。若业务开启OAuth2登录并配置management.oauth_client_secret,攻击者仅能访问15672管理端口,单次请求就能获取明文客户端密钥。
攻击者拿到密钥后可向身份提供商换取管理员令牌,完全掌控所有队列、消息、账号、集群配置,企业全量业务数据、交易消息面临窃取、篡改、删除风险,云平台公网暴露实例风险最高。
2、CVE-2026-57221(CVSS5.3,中危):缺失权限校验,跨租户读取队列信息
漏洞属于未授权访问缺陷,被动队列声明操作跳过权限校验。任意可连接虚拟主机的登录用户,无视自身权限,就能枚举全虚拟主机队列、交换机名称,读取消息堆积量、消费者在线数量等核心元数据。
在多租户共享虚拟主机场景下,攻击者可根据队列命名、消息流量推断竞品业务规模、核心接口逻辑,为后续渗透、数据窃取铺路,严重破坏租户数据隔离底线。
二、漏洞影响范围与已修复版本
缺陷自2024年初并入代码库,覆盖所有3.13.0及后续发行版本,官方已推送补丁,修复版本如下:4.3.0、4.2.6、4.1.11、4.0.20、3.13.15。
本次同步修复另外两款超严重漏洞:TLS客户端认证绕过(CVSS9.1)、中间人伪造JWKS接管JWT认证(CVSS9.2),建议企业一次性升级同步加固传输链路安全。目前暂无公开利用攻击案例,但漏洞利用门槛极低,暴露公网实例极易被批量扫描攻击。
三、企业紧急防护处置方案
1、长期根治:优先全量升级RabbitMQ到上述修复版本,彻底移除存在缺陷的废弃API,补齐权限校验逻辑,从根源消除漏洞入口。
2、临时缓解:防火墙封禁公网访问15672管理端口,仅内网、VPN放行;配置访问策略拦截/api/auth高危接口;多租户业务拆分独立虚拟主机,禁止多租户共用vhost。
3、事后安全加固:若管理界面曾暴露外网,立即轮换OAuth客户端密钥,密钥泄露后仅升级无法消除已泄露凭证风险;定期审计RabbitMQ登录日志、队列访问记录,排查异常批量枚举行为;网络分段隔离消息中间件,杜绝公网直连集群。
RabbitMQ两款权限漏洞暴露了中间件老旧接口、权限校验遗漏的典型安全隐患,对云厂商、多SaaS服务商、金融交易系统威胁尤为突出。消息中间件作为业务数据流核心,一旦被攻陷将引发连锁数据泄露、业务瘫痪。企业运维、安全团队需尽快完成资产盘点,核查RabbitMQ版本,同步落实端口隔离、密钥轮换、版本升级三重防护,筑牢微服务底层数据安全防线。