Rabbitmq

Vulnerabilidades críticas no RabbitMQ expõem segredos de OAuth

Pesquisadores de cibersegurança revelaram duas falhas relacionadas ao controle de acesso no serviço de mensageria RabbitMQ, que podem permitir que atacantes vazem segredos de clientes OAuth e comprometam a infraestrutura de mensageria empresarial. A equipe de segurança da Miggo, que descobriu as falhas, informou que a primeira vulnerabilidade (CVE-2026-57219) expõe o segredo confidencial do broker a um atacante não autenticado em uma única solicitação, possibilitando a troca desse segredo por um token de administrador e o controle total sobre mensagens, filas e configurações do broker. A segunda falha (CVE-2026-57221) permite que qualquer usuário autenticado leia dados de outros inquilinos sem autorização adequada. Ambas as falhas estão presentes desde 2024 e afetam versões do RabbitMQ a partir da 3.13.0. As vulnerabilidades foram corrigidas nas versões mais recentes, e recomenda-se que as organizações atualizem seus sistemas e implementem medidas de segurança adicionais, como a rotação de segredos e a limitação de acesso à interface de gerenciamento. Embora não haja evidências de exploração ativa antes da divulgação pública, a situação é preocupante, especialmente em ambientes multi-inquilinos ou expostos à internet.