Deux vulnérabilités RabbitMQ corrigées pourraient divulguer les secrets du client OAuth, contourner les contrôles d’accès et exposer l’infrastructure de messagerie d’entreprise aux attaquants.
RabbitMQ a corrigé deux vulnérabilités de contrôle d’accès affectant le courtier de messages open source largement utilisé, qui pourraient exposer les données des applications d’entreprise et, dans certains déploiements, permettre aux attaquants de prendre le contrôle total de l’infrastructure de messagerie.
Les failles, découvertes par Miggo Security, ont exposé les secrets OAuth à des attaquants non authentifiés, permettant aux utilisateurs peu privilégiés d’espionner potentiellement d’autres locataires.
Affectant les versions de RabbitMQ remontant à la version 3.13.0, introduite début 2024, les failles ont désormais été corrigées dans toutes les versions prises en charge.
Configurations OAuth divulguées par un point de terminaison obsolète
Le problème le plus grave, identifié comme CVE-2026-57219, permet à toute personne ayant un accès réseau à l’interface de gestion de RabbitMQ de recevoir le secret client OAuth du courtier sans authentification.
La faille provient d’un point de terminaison de gestion obsolète « GET/api/auth » qui renvoyait la configuration OAuth de RabbitMQ, qui inclut le secret client OAuth confidentiel du courtier, à toute personne l’interrogeant. Dans les déploiements utilisant des clients OAuth confidentiels avec des fournisseurs tels que Microsoft Entra ID, Auth0, Keycloak ou UAA, les attaquants pourraient échanger le secret divulgué contre un jeton d’administrateur et prendre le contrôle total du courtier.
Le problème s’est vu attribuer un score de gravité élevé de CVSS 8,7 sur 10 et a été corrigé dans les versions 3.13.15, 4.0.20, 4.1.11 et 4.2.6.
RabbitMQ aurait résolu le problème en supprimant complètement le point de terminaison obsolète, fournissant à la place la configuration OAuth via un mécanisme d’amorçage authentifié qui n’expose plus le secret client via HTTP.
Selon Miggo, une exploitation réussie pourrait permettre aux attaquants d’accéder ou de modifier des messages, de créer des utilisateurs, de modifier la configuration du courtier et de compromettre efficacement la couche de messagerie prenant en charge les applications d’entreprise. La société a recommandé aux organisations de procéder à une mise à niveau immédiate, d’effectuer une rotation de tous les secrets client OAuth exposés après l’application des correctifs et de garantir que l’interface de gestion n’est jamais exposée à des réseaux non fiables.
Contournement d’autorisation pour la reconnaissance
La deuxième vulnérabilité, CVE-2026-57221, est un contournement d’autorisation affectant les opérations de file d’attente passive et de déclaration d’échange de RabbitMQ.
Bien que les attaquants aient besoin d’informations d’identification valides pour l’exploitation, même les comptes sans autorisations attribuées peuvent découvrir si des files d’attente et des échanges existent et récupérer des métadonnées telles que le nombre de messages et les consommateurs actifs, car la vérification des autorisations est ignorée.
Miggo a noté que la faille n’expose pas le contenu des messages et n’autorise pas la falsification, mais qu’elle peut divulguer des informations opérationnelles précieuses dans des environnements partagés. Les attaquants pourraient cartographier les applications, surveiller l’activité des charges de travail et rassembler des informations pour des attaques ultérieures contre d’autres locataires partageant le même hôte virtuel, ont ajouté les chercheurs.
RabbitMQ a résolu le problème en garantissant que les déclarations de file d’attente passive et d’échange appliquent désormais les mêmes contrôles d’autorisation que les autres opérations. Puisqu’il n’existe aucune solution de contournement de configuration ni d’atténuation WAF pour cette faille, il a été conseillé aux organisations de mettre à niveau vers une version corrigée et d’isoler les locataires dans des hôtes virtuels distincts jusqu’à ce que l’application des correctifs puisse être terminée.
Miggo a déclaré que ces vulnérabilités sont les premiers CVE découverts par sa plateforme autonome de recherche en sécurité, VulnHunter, avant d’être validées par son équipe de sécurité et divulguées aux responsables de RabbitMQ, qui auraient confirmé les problèmes et publié des correctifs.



