
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
RabbitMQ to jeden z najczęściej stosowanych brokerów wiadomości w środowiskach enterprise, architekturach mikroserwisowych oraz integracjach między systemami. Odpowiada za niezawodną wymianę komunikatów pomiędzy aplikacjami, dlatego jego kompromitacja może bezpośrednio wpłynąć na działanie procesów biznesowych, usług backendowych i infrastruktury pośredniczącej.
Nowo opisana podatność CVE-2026-5721 dotyczy interfejsu zarządzania RabbitMQ i może prowadzić do ujawnienia poufnego sekretu OAuth. W określonych scenariuszach otwiera to drogę do podszycia się pod brokera wobec dostawcy tożsamości oraz uzyskania uprzywilejowanego dostępu administracyjnego.
W skrócie
Najważniejszy problem polega na tym, że nieuwierzytelniony atakujący może pozyskać sekret OAuth klienta z otwartego endpointu management API. Zagrożenie dotyczy przede wszystkim instancji, w których aktywna jest wtyczka zarządzająca oraz skonfigurowano integrację z OAuth 2.0 lub OIDC z użyciem confidential client.
- Podatność oznaczono jako CVE-2026-5721.
- Może prowadzić do uzyskania tokenu administracyjnego i przejęcia kontroli nad brokerem.
- Najbardziej zagrożone są instancje z udostępnionym portem zarządzającym do niezaufanej sieci.
- Problem usunięto w wersjach 4.3.0, 4.2.6, 4.1.11, 4.0.20 oraz 3.13.15.
- Równolegle naprawiono także CVE-2026-57221, dotyczącą brakującej autoryzacji i możliwości enumeracji kolejek oraz exchange’y.
Kontekst / historia
RabbitMQ od lat pozostaje kluczowym elementem nowoczesnych środowisk aplikacyjnych. Jest powszechnie wykorzystywany w systemach finansowych, e-commerce, platformach SaaS, procesach CI/CD i rozproszonych architekturach opartych na zdarzeniach. W praktyce oznacza to, że broker bardzo często znajduje się w centrum komunikacji między krytycznymi komponentami organizacji.
Wraz ze wzrostem wymagań dotyczących centralnego zarządzania tożsamością wiele organizacji integruje RabbitMQ z zewnętrznymi dostawcami IAM przy użyciu OAuth 2.0 i OIDC. Taki model upraszcza kontrolę dostępu, ale jednocześnie sprawia, że wyciek sekretu klienta staje się incydentem o znacznie większej skali niż zwykły błąd konfiguracyjny. Według opublikowanych informacji podatność została wprowadzona na początku 2024 roku wraz z wersją 3.13.0.
Analiza techniczna
Sedno CVE-2026-5721 sprowadza się do obecności endpointu w interfejsie zarządzania, który zwracał poufny sekret OAuth bez wymaganego uwierzytelnienia. Jeśli administrator skonfigurował RabbitMQ jako confidential client wobec zewnętrznego dostawcy tożsamości, atakujący mający dostęp sieciowy do portu management mógł pobrać sekret i wykorzystać go do dalszych działań.
W praktyce taki wyciek może umożliwić podszycie się pod brokera i uzyskanie tokenu o szerokich uprawnieniach, zależnie od konfiguracji po stronie identity providera. To z kolei tworzy możliwość przejęcia administracji nad użytkownikami, kolejkami, wiadomościami, exchange’ami oraz ustawieniami samej instancji.
Istotne są jednak warunki ataku. Problem nie dotyczy środowisk bez włączonej wtyczki management ani instalacji, w których nie skonfigurowano sekretu klienta. Największe ryzyko występuje tam, gdzie interfejs administracyjny jest osiągalny z Internetu, sieci współdzielonych lub segmentów dostępnych dla mniej zaufanych użytkowników i systemów.
Druga z załatanych luk, CVE-2026-57221, ma mniejszy ciężar, ale nadal jest istotna operacyjnie. Uwierzytelniony użytkownik może dzięki niej enumerować kolejki i exchange’e oraz odczytywać ich statystyki. Dane tego typu mogą ujawniać topologię środowiska, nazewnictwo procesów i zależności między usługami, a więc stanowić cenne źródło informacji rozpoznawczych.
Konsekwencje / ryzyko
Wpływ podatności należy oceniać szerzej niż wyłącznie przez pryzmat samego brokera wiadomości. RabbitMQ pośredniczy często w komunikacji pomiędzy systemami o wysokiej wrażliwości, dlatego jego przejęcie może prowadzić jednocześnie do naruszenia poufności, integralności i dostępności.
Atakujący może uzyskać wgląd w treść wiadomości, metadane i wzorce komunikacji między aplikacjami. Może również modyfikować lub wstrzykiwać komunikaty, co potencjalnie wpływa na logikę biznesową systemów zależnych. Dodatkowo posiadając uprawnienia administracyjne, napastnik jest w stanie zmieniać konfigurację, destabilizować przepływ danych lub blokować obsługę kolejek.
Szczególnie narażone są organizacje korzystające z chmury, środowisk wielodzierżawnych i szeroko dostępnych paneli administracyjnych. W takich przypadkach luka może stać się punktem wejścia do ruchu bocznego, dalszej eskalacji uprawnień oraz mapowania architektury aplikacyjnej.
Rekomendacje
Najważniejszym działaniem jest pilna aktualizacja RabbitMQ do wersji zawierających poprawki bezpieczeństwa. Organizacje powinny przeprowadzić przegląd wszystkich instancji od gałęzi 3.13.0 wzwyż i potwierdzić, czy aktywne są komponenty management oraz integracja z OAuth 2.0 lub OIDC.
Jeśli natychmiastowa aktualizacja nie jest możliwa, należy bezzwłocznie ograniczyć dostęp do portu zarządzającego wyłącznie do zaufanych segmentów administracyjnych. Panel management nie powinien być publicznie dostępny ani osiągalny z szerokich sieci wewnętrznych bez ścisłej filtracji ruchu.
- Zaktualizować RabbitMQ do wersji zawierających poprawki.
- Ograniczyć dostęp do management API za pomocą ACL, firewalla, VPN lub bastionu.
- Zweryfikować, czy skonfigurowano confidential client dla OAuth 2.0/OIDC.
- Po aktualizacji przeprowadzić rotację sekretu OAuth, jeśli instancja była dostępna z niezaufanej sieci.
- Przeanalizować logi uwierzytelniania oraz operacje administracyjne pod kątem anomalii.
- Sprawdzić zmiany w konfiguracji brokerów, uprawnieniach użytkowników oraz historii działań na kolejkach i exchange’ach.
- Uwzględnić RabbitMQ w procesach ciągłego skanowania podatności i hardeningu.
Podsumowanie
CVE-2026-5721 pokazuje, że nawet pojedynczy błąd w warstwie administracyjnej może przełożyć się na pełnoskalowe ryzyko przejęcia kluczowego elementu komunikacji w przedsiębiorstwie. W środowiskach zintegrowanych z zewnętrznym dostawcą tożsamości ujawnienie sekretu OAuth może stać się bezpośrednią drogą do zdobycia uprzywilejowanego dostępu.
Dodatkowa luka CVE-2026-57221 zwiększa możliwości rozpoznawcze atakującego, co podnosi łączne ryzyko operacyjne. Dla zespołów bezpieczeństwa priorytetem powinny być szybkie aktualizacje, ograniczenie ekspozycji panelu zarządzania, rotacja sekretów oraz weryfikacja śladów potencjalnej kompromitacji.