NATS Server Vulnerability: Missing Access Controls in JetStream API
2025/04/10 SecurityOnline — シンプルなデジタル・コミュニケーションのためのシステム/サービス/デバイスを提供する NATS Server に、セキュリティ上の脆弱性が発見された。この脆弱性 CVE-2025-30215 の脆弱性は、JetStream (JS) API におけるアクセス制御の欠如に起因する。
NATS のアドバイザリには、「JetStream アセットの管理は、システム・アカウントにおける、”$JS.” サブジェクト名前空間内のメッセージを通じて行われる。その一部は、通常のアカウントにも公開されている、一部の JS API リクエストにはアクセス制御が欠如していた」と記されている。
このアクセス制御の欠如により、自身のアカウントで JS 管理権限を持つユーザーであれば、他のアカウントの任意の JS アセットに対して、特定の管理操作を実行できてしまう。NATS のアドバイザリは、「この問題は重大であり、保護されていない API の少なくとも1つは、データ破壊を引き起こす可能性を持つ。ただし、すべての影響を受ける API において、ストリーム・コンテンツの開示は許可されない」とも述べている。
この脆弱性の影響の範囲は、NATS Server のバージョン 2.2.0 以降および、バージョン2.11.1/2.10.27 未満である。
すでに NATS は、バージョン 2.11.1/2.10.27 をリリースし、この問題に対処している。ユーザーに強く推奨されるのは、それらの最新バージョンへの、速やかなアップグレードである。
このブログでは初登場の NATS Server ですが、GitHub では「NATS は、デジタルシステムやサービス、デバイス向けのシンプルで安全かつ高性能な通信システムである。Cloud Native Computing Foundation (CNCF) のプロジェクトの一つで、40以上のクライアント言語に対応し、オンプレミス/クラウド/エッジ/Raspberry Pi 上で動作する。NATS は、最新の分散システムを安全かつシンプルに設計/運用するための基盤を提供している」と説明されています。ご利用のチームも多いことかと思います。迅速なアップデートを、ご検討ください。
IoT OT Security News 
You must be logged in to post a comment.