← Alertas
Vulnerabilidad Alto En monitoreo

Dos fallas en RabbitMQ permitían tomar control total del sistema de mensajería sin autenticarse

Dos fallas de control de acceso en RabbitMQ, un sistema de mensajería usado para conectar aplicaciones empresariales, podían filtrar secretos de acceso y exponer información de otros clientes que comparten el mismo servicio. Ya existen versiones corregidas. No hay evidencia de que hayan sido explotadas antes de conocerse públicamente.

2026-07-14 · The Hacker News

Qué ocurrió

Investigadores encontraron dos fallas de seguridad en RabbitMQ, un sistema de mensajería que muchas empresas usan para conectar aplicaciones internas entre sí. La primera permitía que cualquier persona, sin necesitar una cuenta, obtuviera un secreto de autenticación (una especie de llave maestra) que abre acceso administrativo completo al sistema. La segunda permitía a cualquier usuario autenticado ver información de colas y mensajes de otros clientes que comparten el mismo servicio, algo que no debería ser visible entre ellos. Ya existen versiones corregidas. No hay evidencia de que alguien haya aprovechado estas fallas antes de que se hicieran públicas.

Quién está expuesto

Para organizaciones

Empresas que usan RabbitMQ en versiones 3.13.0 o posteriores, especialmente si el panel de administración es accesible desde Internet.

A considerar

Además de actualizar, conviene cambiar los secretos de autenticación si el panel de administración estuvo expuesto a Internet, y restringir el acceso al puerto que usa ese panel (15672) mediante el firewall.

Impacto potencial

Con la llave maestra filtrada, un atacante podía tomar control administrativo total del sistema de mensajería: ver, modificar o eliminar mensajes, y controlar la configuración completa del servicio. Esto puede interrumpir la comunicación entre aplicaciones internas que dependen de RabbitMQ para funcionar.

Leer fuente original →