Nats-server
Уязвимости
25
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.03658
Распределение по критичности
Критический
3
Высокий
11
Средний
11
Низкий
0
Затронутые диапазоны версий
2.0.0–2.2.02.0.0–2.7.22.10.0–2.10.42.11.0–2.11.152.2.0–2.10.272.2.0–2.11.142.2.0–2.7.42.2.0–2.9.23< 2.0.2< 2.1.9< 2.11.12< 2.11.14< 2.11.15
Также сопоставлено как (исходные строки): nats-server,nats_streaming_server,jwt_library,nkeys
Топ уязвимостей
CVE-2022-28357NATS nats-server 2.2.0 - 2.7.4 допускает обход каталогов из-за непреднамеренного пути к действию управления из учетной записи управления.
CVE-2020-26892Библиотека JWT в NATS nats-server до версии 2.1.9 имеет неправильный контроль доступа из-за того, как обрабатываются просроченные учетные данные.
CVE-2025-30215NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. В версиях, начиная с 2.2.0, но до 2.10.27 и 2.11.1, управление активами JetStream происходит с сообщениями в пространстве имен $JS. субъекта на системном счете; это частично выставляется на обычные счета, чтобы владельцы счетов могли управлять своими активами. Некоторые из запросов JS API отсутствовали элементы управления доступом, что позволяло любому пользователю с разрешениями управления JS в любой учетной записи выполнять определенные административные действия по любому активу JS в любой другой учетной записи. По крайней мере, один из незащищенных API позволяет уничтожать данные. Ни один из затронутых API не позволяет раскрывать потоковый контент. Эта уязвимость фиксируется в v2.11.1 или v2.10.27.
CVE-2022-24450NATS nats-server до версии 2.7.2 имеет неправильный контроль доступа. Любой аутентифицированный пользователь может получить привилегии системной учетной записи, злоупотребляя функцией "динамически предоставляемых учетных записей песочницы".
CVE-2026-33218NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. До версий 2.11.15 и 2.12.6 клиент, который может подключиться к порту листонолов, может разбивать натышающий сервер с определенной деформированной доутентности сообщения. Версии 2.11.15 и 2.12.6 содержат исправление. В качестве обходного пути отключите поддержку листонода, если это не требуется, или ограничьте сетевое соединение с портом листодо, если это правдоподобно без ущерба для предлагаемой услуги.
CVE-2026-33216NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. До версий 2.11.15 и 2.12.6 для развертываний MQTT с использованием пользовательских кодов/паролей: пароли MQTT неправильно классифицируются как неаутентичное заявление об идентификации (JWT) и выставляются через конечные точки мониторинга. Версии 2.11.14 и 2.12.6 содержат исправление. В качестве обходного периода обеспечить надлежащую защиту конечных точек мониторинга. Наилучшая практика по-прежнему не подвергать конечные точки мониторинга Интернету или другим ненадежным пользователям сети.
CVE-2026-29785NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. До версий 2.11.14 и 2.12.5, если в нат-сервере включена конфигурация «leafnode» (не по умолчанию), то любой, кто может подключиться, может сломать натышочный сервер, вызвав панику. Это происходит до аутентификации и требует, чтобы сжатие было включено (которым оно является, по умолчанию, когда используются листовые ноды). Версии 2.11.14 и 2.12.5 содержат исправление. В качестве обходного движения отключите сжатие на порту листьев.
CVE-2026-27889NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. Начиная с версий 2.2.0 и до версий 2.11.14 и 2.12.5, отсутствующая проверка здравомыслия на кадре WebSockets может вызвать панику сервера в нат-сервере. Это происходит до аутентификации, и поэтому подвергается воздействию любого, кто может подключиться к порту веб-сайтов. Версии 2.11.14 и 2.12.5 содержат исправление. Доступен обходной путь. Уязвимость затрагивает только развертывания, которые используют WebSockets и которые подвергают сетевой порт ненадежным конечным точкам. Если кто-то сможет это сделать, защита в глубине ограничения любого из них смягчит атаку.
CVE-2026-27571NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. WebSockets, обрабатывающий сообщения NATS, обрабатывает сжатые сообщения через согласованное сжатие WebSockets. До версий 2.11.2 и 2.12.3 реализация связывала размер памяти сообщения NATS, но не связывала потребляем память потока памяти при построении сообщения NATS, которое затем может привести к выходу из проверки по причинам размера. Злоумышленник может использовать компрессионную бомбу, чтобы вызвать чрезмерное потребление памяти, что часто приводит к тому, что операционная система прекращает процесс работы сервера. Использование сжатия обсуждается до аутентификации, поэтому для этого не требуются действительные учетные данные NATS для использования. Исправление, присутствующее в версиях 2.11.2 и 2.12.3, должно было ограничить декомпрессию к выходу из строя, когда сообщение было слишком большим, вместо продолжения. Уязвимость затрагивает только развертывания, которые используют WebSockets и которые подвергают сетевой порт ненадежным конечным точкам.
CVE-2023-46129NATS.io - это высокопроизводительная библиотека открытого кода для распределенной коммуникационной технологии pub-sub, построенной для облака, локально, в IoT и периферийных вычислениях. Библиотека для работы с криптографическими ключами nkeys недавно получила поддержку шифрования, а не только для подписания/аутентификации. Это используется в nats-server 2.10 (сентябрь 2023) и новее для вызовов аутентификации. В версиях библиотеки nkeys от 0.4.0 до 0.4.5, соответствующих версиям сервера NATS от 2.10.0 до 2.10.3, логика обработки шифрования nkeys `xkeys` ошибочно передала массив по значению во внутреннюю функцию, где функция мутировала этот буфер, чтобы заполнить ключ шифрования для использования. В результате все шифрование фактически происходило по ключу из всех нулей. Это затрагивает только шифрование, а не подписание. FIXME: ЗАПОЛНИТЕ ВЛИЯНИЕ НА БЕЗОПАСНОСТЬ ВЫЗОВА АУТЕНТИФИКАЦИИ NATS-SERVER. Библиотека nkeys Go 0.4.6, соответствующая NATS Server 2.10.4, имеет патч для этой проблемы. Известные обходные пути отсутствуют. Для любого приложения, обрабатывающего вызовы аутентификации в Go, если используется библиотека nkeys, обновите зависимость, пересоберите и задействуйте это совместно.
CVE-2021-3127NATS Server 2.x до 2.2.0 и библиотека JWT до 2.0.1 имеют неверный контроль доступа, поскольку привязки Import Token обрабатываются неправильно.
CVE-2020-28466Это затрагивает все версии пакета github.com/nats-io/nats-server/server. Недоверенные учетные записи могут привести к сбою сервера, используя конфигурации, представляющие циклы экспорта/импорта служб. Отказ от ответственности от сопровождающих: Запуск службы NATS, которая открыта для недоверенных пользователей, представляет повышенный риск. Любая ошибка удаленного выполнения или эквивалентная серьезность, или отказ в обслуживании неаутентифицированными пользователями приведет к оперативным выпускам от сопровождающих NATS. Исправления для проблем отказа в обслуживании без угрозы удаленного выполнения, когда они ограничены владельцами учетных записей, вероятно, будут просто зафиксированы в основной ветке разработки без особого внимания. Тем, кто запускает такие службы, рекомендуется регулярно собирать из git.
CVE-2020-26521Библиотека JWT в NATS nats-server до 2.1.9 допускает отказ в обслуживании (разыменование nil в коде Go).
CVE-2019-13126Переполнение целого числа в NATS Server до 2.0.2 позволяет удаленному злоумышленнику вызвать сбой сервера, отправив специально созданный запрос. Если аутентификация включена, удаленный злоумышленник должен сначала пройти аутентификацию.
CVE-2026-33217NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. До версий 2.11.15 и 2.12.6 при использовании ACL на темы сообщений эти ACL не применялись в пространстве имен, что позволяло клиентам MQTT обходить проверки ACL для субъектов MQTT. Версии 2.11.15 и 2.12.6 содержат исправление. Известных обходных решений не имеется.
CVE-2026-33215NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. Nats-сервер предоставляет клиентский интерфейс MQTT. До версий 2.11.15 и 2.12.5 Сеансы и Сообщения могут быть взломаны с помощью MQTT Client ID. Версии 2.11.15 и 2.12.5 исправьте выпуск. Известные обходные пути не доступны.
CVE-2023-47090NATS nats-server до версий 2.9.23 и 2.10.x до 2.10.2 имеет обход аутентификации. Неявный пользователь $G в блоке авторизации иногда может использоваться для неаутентифицированного доступа, даже если конфигурация предполагала, что у каждого пользователя есть учетная запись. Самая ранняя затронутая версия — 2.2.0.
CVE-2022-26652NATS nats-server до версии 2.7.4 допускает обход каталогов (с доступом на запись) через элемент в ZIP-архиве для потоков JetStream. nats-streaming-server до версии 0.24.3 также подвержен этой проблеме.
CVE-2026-33246NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. Nats-сервер предлагает заголовок сообщений `Nats-Request-Info:` с информацией о запросе. Предполагается, что это дает достаточно информации, чтобы позволить идентифицировать учетную запись / пользователей, так что клиенты NATS могут принимать свои собственные решения о том, как доверять сообщению, при условии, что они доверяют нат-серверу как брокеру. Листовая узел, соединяющая с нат-сервером, не полностью доверяется, если системная учетная запись также не согласована. Таким образом, заявления об установлении личности не должны были пропорционально пускаться без контроля. До версий 2.11.15 и 2.12.6 клиенты NATS, полагаясь на заголовок Nats-Request-Info:, могут быть подделаны. Это напрямую не влияет на сам сервер натов, но оценки конфиденциальности и целостности CVSS основаны на том, что гипотетический клиент может сделать с этим заголовком NATS. Версии 2.11.15 и 2.12.6 содержат исправление. Известные обходные пути отсутствуют.
CVE-2026-33223NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. До версий 2.11.15 и 2.12.6 заголовок сообщений NATS `Nats-Request-Info:` должен быть гарантией идентификации сервера NATS, но лишение этого заголовка от входящих сообщений не было полностью эффективным. Таким образом, злоумышленник с действительными учетными данными для любого обычного клиентского интерфейса может подставить свою личность в службы, которые полагаются на этот заголовок. Версии 2.11.15 и 2.12.6 содержат исправление. Известные обходные пути отсутствуют.
CVE-2026-33247NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. До версий 2.11.15 и 2.12.6, если nats-сервер работает со статическими учетными данными для всех клиентов, предоставляемых через argv (командную строку), то эти учетные данные видны любому пользователю, который может видеть порт мониторинга, если это тоже включено. Конечная точка `/debug/vars` содержит неотредактированную копию argv. Версий 2.11.15 и 2.12.6 содержат исправление. В качестве обходного пути настройте учетные данные внутри конфигурационного файла, а не через argv, и не включите порт мониторинга, если вы используете секреты в argv. Наилучшая практика по-прежнему заключается в том, чтобы не подвергать порт мониторинга Интернету или ненадежным сетевым источникам.
CVE-2026-33219NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. До версий 2.11.15 и 2.12.6 вредоносный клиент, который может подключаться к порту WebSockets, может вызвать безграничное использование памяти в нат-сервере перед аутентификацией; это требует отправки соответствующего количества данных. Это более мягкий вариант CVE-2026-27571. Эта предыдуща была компрессионная бомба, эта уязвимость - нет. Таким образом, атаки на эту новую проблему требуют значительной пропускной способности клиентов. Версии 2.11.15 и 2.12.6 содержат исправление. В качестве обходного периода отключайте веб-сайты, если они не требуются для развертывания проекта.
CVE-2026-33222NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. До версий 2.11.15 и 2.12.6 пользователи с доступом к API админ-аналог JetStream для восстановления одного потока могли восстановить другие потоковые имена, влияя на данные, которые должны были быть защищены от них. Версии 2.11.15 и 2.12.6 содержат исправление. В качестве обходного периода, если разработчики настроили пользователей на ограниченные разрешения на восстановление JetStream, временно удалите эти разрешения.
CVE-2026-33249NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. Начиная с версий 2.11.0 и до версий 2.11.15 и 2.12.6, действительный клиент, используюющий заголовки отслеживания сообщений, может указывать, что сообщения трассировки могут быть отправлены на произвольный действительный предмет, включая те, на которые клиент не имеет разрешения на публикацию. Полезная нагрузка является действительным сообщением, которое не выбирает злоумышленник. Версии 2.11.15 и 2.12.6 содержат исправление. Известных обходных путей не имеется.
CVE-2026-33248NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. До версий 2.11.15 и 2.12.6 при использовании mTLS для идентификации клиента с `verify_and_map` для получения тождества NATS из предмета DN клиентского сертификата, определенные шаблоны RDN не будут правильно соблюдаться, что позволяет обходить аутентификацию. Это требует действительного сертификата из CA, которому уже доверили сертификаты клиентов, и `DN` шаблонов именования, которые сторонники NATS считают крайне маловероятными. Так что это маловероятная атака. Тем не менее, администраторы, которые были очень изощренными в своих `DN` строительных моделях, могут быть затронуты. Версий 2.11.15 и 2.12.6 содержат исправление. В качестве обходного пути разработчики должны пересмотреть свою практику выдачи CA.