NATS-Server is a High-Performance server for NATS.io, a cloud and edge native messaging system. The nats-server offers a `Nats-Request-Info:` message header, providing information about a request. This is supposed to provide enough information to allow for account/user identification, such that NATS clients could make their own decisions on how to trust a message, provided that they trust the nats-server as a broker. A leafnode connecting to a nats-server is not fully trusted unless the system account is bridged too. Thus identity claims should not have propagated unchecked. Prior to versions 2.11.15 and 2.12.6, NATS clients relying upon the Nats-Request-Info: header could be spoofed. This does not directly affect the nats-server itself, but the CVSS Confidentiality and Integrity scores are based upon what a hypothetical client might choose to do with this NATS header. Versions 2.11.15 and 2.12.6 contain a fix. No known workarounds are available.
NATS-Server versions prior to 2.11.15 and 2.12.6 allow spoofing of the Nats-Request-Info header, enabling attackers to forge identity claims in leafnode connections. This vulnerability could lead to unauthorized access if clients rely on this header for authentication decisions without proper validation.
تسمح هذه الثغرة للمهاجمين بتزوير رأس Nats-Request-Info في خادم NATS، مما قد يؤدي إلى انتحال الهوية والوصول غير المصرح به. المشكلة تؤثر على اتصالات leafnode التي لا تثق بالكامل ما لم يتم جسر حساب النظام. العملاء الذين يعتمدون على هذا الرأس للمصادقة دون التحقق المناسب معرضون للخطر.
خادم NATS في الإصدارات السابقة لـ 2.11.15 و 2.12.6 يسمح بتزوير رأس Nats-Request-Info، مما يمكّن المهاجمين من تزييف مطالبات الهوية في اتصالات leafnode. قد تؤدي هذه الثغرة إلى وصول غير مصرح به إذا اعتمدت العملاء على هذا الرأس لقرارات المصادقة دون التحقق المناسب.
Upgrade NATS-Server to version 2.11.15 or 2.12.6 or later immediately. Implement strict validation of Nats-Request-Info headers on client side and do not rely solely on this header for authentication decisions. Ensure leafnode connections are properly authenticated through system account bridging and implement network segmentation to restrict leafnode access.
قم بترقية خادم NATS إلى الإصدار 2.11.15 أو 2.12.6 أو أحدث فوراً. قم بتنفيذ التحقق الصارم من رؤوس Nats-Request-Info على جانب العميل ولا تعتمد فقط على هذا الرأس لقرارات المصادقة. تأكد من أن اتصالات leafnode مصرح بها بشكل صحيح من خلال جسر حساب النظام وقم بتنفيذ تقسيم الشبكة لتقييد وصول leafnode.