Miggo zufolge steckt das Problem in einem veralteten Endpunkt der Management-Weboberfläche von RabbitMQ. Die Schwachstelle wird als CVE-2026-5721 mit einem CVSS-Wert von 8,7 geführt. Sie tritt in Konfigurationen auf, in denen ein Administrator das vertrauliche Passwort des Brokers für die Authentifizierung an einem Identitätsanbieter eingerichtet hat.

Wie Miggo erklärt, kann jeder, der den Management-Port erreicht, dieses Geheimnis abrufen. Falls der verwendete OAuth-Ablauf die Nutzung des Geheimnisses erlaubt, kann ein Angreifer den Broker gegenüber dem Identitätsanbieter ausgeben und ein Administrator-Token beziehen. In Konfigurationen, die das offengelegte Geheimnis tatsächlich verwenden, kann ein Angreifer damit Kontrolle über Benutzer, Nachrichten, Queues und Broker-Einstellungen erlangen.

Das sei insbesondere der Standard, wenn ein OAuth-2-/OIDC-Anbieter wie Auth0, Azure AD/Entra ID, Keycloak oder UAA eingesetzt wird. Nicht betroffen sind dagegen Installationen, bei denen kein Client-Geheimnis konfiguriert wurde, weil es dann nichts auszulesen gibt. Ebenfalls nicht betroffen sind RabbitMQ-Instanzen ohne Management-Plugin.

Als besonders kritisch beschreibt Miggo Umgebungen, in denen der Management-Port aus nicht vertrauenswürdigen Netzen erreichbar ist. Genannt werden Cloud- und Multi-Tenant-Setups sowie eine Management-Oberfläche, die versehentlich dem Internet ausgesetzt wurde.

Eingeführt wurde CVE-2026-5721 laut Bericht Anfang 2024 mit RabbitMQ 3.13.0. Behoben wurde die Schwachstelle in den Versionen 4.3.0, 4.2.6, 4.1.11, 4.0.20 und 3.13.15.

Die Updates schließen außerdem eine zweite Lücke: CVE-2026-57221 mit einem CVSS-Wert von 5,3. Dabei handelt es sich um einen Autorisierungsfehler mittlerer Schwere, durch den sich jeder authentifizierte Nutzer Queues und Exchanges auflisten und deren Statistiken auslesen kann.

Nach Einschätzung von Miggo kann diese zweite Schwachstelle dazu genutzt werden, den virtuellen Host einer Organisation zu kartieren, geschäftliche Aktivität abzuleiten und Informationen für spätere Angriffe zu sammeln. Ein Risiko sieht das Unternehmen vor allem in Multi-Tenant-Umgebungen, in denen sich mehrere Anwendungen oder Teams denselben virtuellen Host teilen.

Miggo rät Organisationen, ihre RabbitMQ-Installationen sofort zu aktualisieren. Falls ein Patch nicht möglich ist, soll der Zugriff auf verwundbare Instanzen blockiert werden. Zudem sollte die Management-Schnittstelle nicht aus dem Internet erreichbar sein, Segmentierung umgesetzt und das OAuth-Client-Geheimnis ausgetauscht werden. Hinweise auf eine aktive Ausnutzung der Schwachstellen gibt es laut Miggo bislang nicht.