「NATS Server」の一部APIに深刻な脆弱性 - アップデートを

複数のシステムやアプリケーション間におけるデータの通知や命令の基盤を提供する「NATS Server」において、「API」におけるアクセス制御の不備に起因する脆弱性が判明した。脆弱性を修正するアップデートが提供されている。

「NATS Server」に統合されたメッセージの永続化機能「JetStream」において、アセット管理に用いる「API」にアクセス制御不備の脆弱性「CVE-2025-30215」が確認されたもの。

悪用には一定のパーミッションが必要となるが、脆弱性によって他アカウントの「JetStream」におけるアセットに対し、不正な操作を実行することが可能になるという。

具体的には、アカウントやサーバの削除、ストリーム移動およびキャンセルなど、4種類のAPIにおける認可が適切に処理されておらず、本来アクセスできない他アカウントのリソースを操作できるという。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.6」、重要度は「クリティカル（Critical）」とレーティングされている。

開発グループでは、現地時間4月8日にリリースした「NATS Server 2.11.1」「同2.10.27」にて脆弱性を修正した。また脆弱性の概念実証（PoC）も公開されており、注意が必要となる。

（Security NEXT - 2025/04/16 ）ツイート