3.7.19
1.15.1
11.16.1
1.17.1
La vulnérabilité CVE-2019-11281 affecte RabbitMQ, versions antérieures à la 3.7.18, ainsi que RabbitMQ for PCF versions 1.15.x antérieures à 1.15.13, 1.16.x antérieures à 1.16.6 et 1.17.x antérieures à 1.17.3. Elle se manifeste par un défaut de validation des entrées utilisateur dans les pages de limites de virtual host et l'interface de gestion de la fédération. Cette faille permet à un attaquant authentifié et disposant d'un accès administratif de lancer une attaque de cross-site scripting (XSS).
Un attaquant exploitant cette vulnérabilité XSS peut injecter du code malveillant dans les pages web de RabbitMQ. Ce code, exécuté dans le contexte du navigateur d'un utilisateur authentifié ayant des privilèges administratifs, peut permettre à l'attaquant de voler des informations sensibles telles que les identifiants de virtual host et les configurations de politiques. Bien que la sévérité soit classée comme faible, l'accès à ces informations peut faciliter des attaques ultérieures, notamment des mouvements latéraux au sein du réseau. L'impact est limité aux utilisateurs authentifiés avec des droits d'administration sur le serveur RabbitMQ.
Cette vulnérabilité a été rendue publique le 16 octobre 2019. Aucune exploitation active n'a été signalée publiquement à ce jour. Il n'y a pas d'indication qu'elle ait été ajoutée au catalogue KEV de CISA. Bien que la CVSS score soit faible, la nature de la vulnérabilité XSS nécessite une attention particulière, car elle peut être exploitée pour compromettre des comptes administratifs.
Organizations utilizing RabbitMQ for message queuing, particularly those with administrative access granted to users who may be susceptible to social engineering or phishing attacks, are at risk. Environments with legacy RabbitMQ installations running versions prior to 3.7.18 are especially vulnerable.
• linux / server: Examine RabbitMQ access logs for unusual patterns or suspicious URLs containing JavaScript code. Use grep to search for patterns like <script> or javascript: within the logs.
grep -i '<script' /var/log/rabbitmq/error.log• generic web: Use curl to test the virtual host limits page and federation management UI for XSS vulnerabilities. Attempt to inject simple payloads and observe the response.
curl 'http://rabbitmq-server/admin/virtualhosts/limits?param=<script>alert("XSS")</script>' disclosure
Statut de l'Exploit
EPSS
1.01% (percentile 77%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour RabbitMQ vers la version 3.7.18 ou une version ultérieure corrigée. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre l'accès administratif aux pages concernées. Il est également recommandé de mettre en œuvre une politique de sécurité de contenu (CSP) pour atténuer les risques liés aux attaques XSS. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Après la mise à jour, vérifiez que la vulnérabilité est corrigée en accédant aux pages concernées et en vous assurant qu'aucune injection de script n'est possible.
Mettez à jour RabbitMQ à la version 3.7.18 ou supérieure. Pour RabbitMQ for PCF, mettez à jour vers la version 1.15.13, 1.16.6 ou 1.17.3, selon le cas. Cela corrige la vulnérabilité de Cross-Site Scripting (XSS) dans les interfaces d'administration.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2019-11281 is a cross-site scripting (XSS) vulnerability affecting RabbitMQ versions prior to 3.7.18, allowing remote, authenticated admins to inject malicious scripts.
You are affected if you are running RabbitMQ versions prior to 3.7.18. This includes versions 3.7.17 and earlier.
Upgrade RabbitMQ to version 3.7.18 or later to resolve the vulnerability. Consider input validation as a temporary mitigation.
There is no current evidence of active exploitation campaigns targeting CVE-2019-11281.
Refer to the Pivotal Security Advisory for details: https://www.rabbitmq.com/security-advisories/CVE-2019-11281.html
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.