Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-04152

Опубликовано: 08 июн. 2021
Источник: fstec
CVSS3: 3.1
CVSS2: 3.5
EPSS Низкий

Описание

Уязвимость брокера сообщений RabbitMQ связана с непринятием мер по нейтрализации script-related тэгов html на веб-странице. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Pivotal Software Inc.

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
RabbitMQ

Версия ПО

11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 3.8.17 (RabbitMQ)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,5)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,1)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для RabbitMQ:
https://github.com/rabbitmq/rabbitmq-server/security/advisories/GHSA-c3hj-rg5h-2772
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-32718
Для ОС Astra Linux:
обновить пакет rabbitmq-server до 3.8.2-1+deb10u2.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
обновить пакет rabbitmq-server до 3.8.2-1+deb10u2.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 22%
0.00071
Низкий

3.1 Low

CVSS3

3.5 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-32718

CVSS3: 3.1
ubuntu
больше 4 лет назад

RabbitMQ is a multi-protocol messaging broker. In rabbitmq-server prior to version 3.8.17, a new user being added via management UI could lead to the user's bane being rendered in a confirmation message without proper `<script>` tag sanitization, potentially allowing for JavaScript code execution in the context of the page. In order for this to occur, the user must be signed in and have elevated permissions (other user management). The vulnerability is patched in RabbitMQ 3.8.17. As a workaround, disable `rabbitmq_management` plugin and use CLI tools for management operations and Prometheus and Grafana for metrics and monitoring.

redhat логотип

CVE-2021-32718

CVSS3: 5.4
redhat
почти 5 лет назад

RabbitMQ is a multi-protocol messaging broker. In rabbitmq-server prior to version 3.8.17, a new user being added via management UI could lead to the user's bane being rendered in a confirmation message without proper `<script>` tag sanitization, potentially allowing for JavaScript code execution in the context of the page. In order for this to occur, the user must be signed in and have elevated permissions (other user management). The vulnerability is patched in RabbitMQ 3.8.17. As a workaround, disable `rabbitmq_management` plugin and use CLI tools for management operations and Prometheus and Grafana for metrics and monitoring.

nvd логотип

CVE-2021-32718

CVSS3: 3.1
nvd
больше 4 лет назад

RabbitMQ is a multi-protocol messaging broker. In rabbitmq-server prior to version 3.8.17, a new user being added via management UI could lead to the user's bane being rendered in a confirmation message without proper `<script>` tag sanitization, potentially allowing for JavaScript code execution in the context of the page. In order for this to occur, the user must be signed in and have elevated permissions (other user management). The vulnerability is patched in RabbitMQ 3.8.17. As a workaround, disable `rabbitmq_management` plugin and use CLI tools for management operations and Prometheus and Grafana for metrics and monitoring.

debian логотип

CVE-2021-32718

CVSS3: 3.1
debian
больше 4 лет назад

RabbitMQ is a multi-protocol messaging broker. In rabbitmq-server prio ...

suse-cvrf логотип

openSUSE-SU-2021:3325-1

suse-cvrf
больше 4 лет назад

Security update for rabbitmq-server

EPSS

Процентиль: 22%
0.00071
Низкий

3.1 Low

CVSS3

3.5 Low

CVSS2