Im Zentrum der Offenlegung stehen zwei Zugriffsfehler in RabbitMQ, dem verbreiteten Message-Broker. Entdeckt und gemeldet wurden sie vom Sicherheitsteam von Miggo. Eine der Schwachstellen kann nach Angaben der Forscher das vertrauliche OAuth-Client-Geheimnis des Brokers an einen nicht authentifizierten Angreifer preisgeben – und zwar mit nur einer Anfrage. Miggo bezeichnet das in betroffenen Konfigurationen als direkten Pfad zu einer vollständigen Übernahme des Brokers.

Die zweite Lücke betrifft die Trennung von Tenants. Laut Miggo kann jeder eingeloggte Nutzer stillschweigend Daten anderer Tenants lesen. Damit werden Mandantengrenzen umgangen und Metadaten über Queues tenant-übergreifend offengelegt.

Beide Schwachstellen sollen seit Anfang 2024 im Code vorhanden gewesen sein. Betroffen sind laut Bericht die RabbitMQ-Release-Linien ab 3.13.0. Geschlossen wurden die Probleme in den Versionen 4.3.0, 4.2.6, 4.1.11, 4.0.20 und 3.13.15. Hinweise darauf, dass eine der beiden Lücken vor der öffentlichen Bekanntmachung aktiv ausgenutzt wurde, liegen den Angaben zufolge nicht vor.

Zu CVE-2026-57219 erklärte Miggo, die Autorisierungsprüfung des Endpunkts sei fest einprogrammiert gewesen, Anfragen immer zuzulassen – anders als bei allen anderen sensiblen Management-Endpunkten. Besonders hoch sei das Risiko dort, wo der Management-Port aus einem nicht vertrauenswürdigen Netz erreichbar ist, also in Cloud- oder Multi-Tenant-Umgebungen oder wenn eine Management-Oberfläche versehentlich ins Internet exponiert wurde.

Als Gegenmaßnahmen nennen die Angaben zunächst das Update auf die korrigierten Versionen. Falls die Management-Schnittstelle über das Internet erreichbar ist, wird außerdem empfohlen, das OAuth-Client-Geheimnis zu rotieren. Hinzu kommen Zugriffsbeschränkungen für Port 15672, damit die Management-Oberfläche nicht über das Netz erreichbar ist, die Trennung von Tenants über virtuelle Hosts sowie Firewall-Regeln, die auf ungepatchten Instanzen den Zugriff auf den verwundbaren Endpunkt blockieren.

Die Veröffentlichung fällt mit weiteren Sicherheitskorrekturen bei RabbitMQ zusammen. Die Maintainer haben zudem zwei Schwachstellen mit kritischem Schweregrad behoben. Eine kann zu einer Umgehung der TLS-Client-Authentifizierung führen und hat einen CVSS-Wert von 9,1. Die andere erlaubt es einem Angreifer in einer Position als Gegner in der Mitte, Antworten eines JSON Web Key Set zu fälschen und den Broker dazu zu bringen, beliebige JWTs zu akzeptieren; hierfür wird ein CVSS-Wert von 9,2 genannt.