Vulnerabilidad en los plugins shovel y federation en RabbitMQ (CVE-2022-31008)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-330
Uso de valores insuficientemente aleatorios
Fecha de publicación:
06/10/2022
Última modificación:
02/04/2025
Descripción
RabbitMQ es un broker de mensajería y streaming multiprotocolo. En versiones afectadas los plugins shovel y federation llevan a cabo una ofuscación de URI en su estado de trabajador (enlace). La clave de cifrado usada para cifrar el URI fue sembrada con un secreto predecible. Esto significa que en caso de determinadas excepciones relacionadas con los plugins Shovel y Federation, podrían aparecer datos razonablemente fáciles de des ofuscar en el registro del nodo. Las versiones parcheadas usan correctamente un secreto para todo el clúster a tal efecto. Este problema se ha solucionado y las versiones parcheadas: "3.10.2", "3.9.18", "3.8.32" están disponibles. Los usuarios que no puedan actualizar deberán deshabilitar los plugins Shovel y Federation
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:broadcom:rabbitmq_server:*:*:*:*:*:*:*:* | 3.9.0 (incluyendo) | 3.9.18 (excluyendo) |
| cpe:2.3:a:broadcom:rabbitmq_server:*:*:*:*:*:*:*:* | 3.10.0 (incluyendo) | 3.10.2 (excluyendo) |
| cpe:2.3:a:vmware:rabbitmq:*:*:*:*:*:*:*:* | 3.8.32 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página