الثغرات ›

CVE-2026-33217

مرتفع

CWE-863 — نوع الضعف

                    نُشر: Mar 25, 2026                      ·  آخر تحديث: Mar 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

NATS-Server is a High-Performance server for NATS.io, a cloud and edge native messaging system. Prior to versions 2.11.15 and 2.12.6, when using ACLs on message subjects, these ACLs were not applied in the `$MQTT.>` namespace, allowing MQTT clients to bypass ACL checks for MQTT subjects. Versions 2.11.15 and 2.12.6 contain a fix. No known workarounds are available.

🤖 ملخص AI

NATS-Server versions prior to 2.11.15 and 2.12.6 fail to enforce ACLs in the $MQTT.> namespace, allowing MQTT clients to bypass access controls on message subjects. This vulnerability affects organizations using NATS messaging systems with MQTT protocol and ACL-based security policies.

📄 الوصف (العربية)

يحتوي NATS-Server على ثغرة في التحكم بالوصول حيث لا يتم تطبيق قوائم التحكم بالوصول (ACLs) على موضوعات الرسائل في مساحة الاسم $MQTT.>. يسمح هذا لعملاء MQTT بتجاوز فحوصات التحكم بالوصول والوصول إلى الموضوعات المحظورة. تم إصلاح هذه المشكلة في الإصدارات 2.11.15 و 2.12.6 وما بعده.

🤖 ملخص تنفيذي (AI)

خوادم NATS الإصدارات السابقة لـ 2.11.15 و 2.12.6 تفشل في فرض قوائم التحكم بالوصول في مساحة الاسم $MQTT.>، مما يسمح لعملاء MQTT بتجاوز فحوصات التحكم بالوصول. يؤثر هذا الضعف على المنظمات التي تستخدم أنظمة رسائل NATS مع بروتوكول MQTT وسياسات أمان قائمة على التحكم بالوصول.

🤖 التحليل الذكي آخر تحليل: May 9, 2026 22:17

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

telecom energy government healthcare

🎯 تقنيات MITRE ATT&CK

T1548 T1078 T1021

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade NATS-Server to version 2.11.15 or 2.12.6 or later immediately. Verify ACL configurations are properly applied across all namespaces including $MQTT.> after patching. Implement network segmentation to restrict MQTT client access until patching is complete.

🔧 خطوات المعالجة (العربية)

قم بترقية NATS-Server إلى الإصدار 2.11.15 أو 2.12.6 أو أحدث على الفور. تحقق من أن تكوينات قوائم التحكم بالوصول يتم تطبيقها بشكل صحيح عبر جميع مساحات الأسماء بما في ذلك $MQTT.> بعد التصحيح. قم بتنفيذ تقسيم الشبكة لتقييد وصول عملاء MQTT حتى يتم إكمال التصحيح.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.1

🔗 المراجع والمصادر 2

🔗

https://advisories.nats.io/CVE/secnote-2026-07.txt

security-advisories@github.com

Vendor Advisory

🔗

https://github.com/nats-io/nats-server/security/advisories/GHSA-jxxm-27vp-c3m5

security-advisories@github.com

Vendor Advisory

📦 المنتجات المتأثرة 2 منتج

linuxfoundation:nats-server

📊 CVSS Score

7.1

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.1

CWECWE-863

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-03-25

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-863

🏢 توجيهات البائع

🔗 https://advisories.nats.io/CVE/secnote-2026-07.txt 🔗 https://github.com/nats-io/nats-server/security/advi...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-33217

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب