Vulnerabilidad en RabbitMQ (CVE-2025-30219)

RabbitMQ es un bróker de mensajería y streaming. Las versiones anteriores a la 4.0.3 son vulnerables a un ataque sofisticado que podría modificar el nombre del host virtual en el disco y hacerlo irrecuperable (junto con otras modificaciones de archivos en el disco), lo que puede provocar la ejecución de código JavaScript arbitrario en los navegadores de los usuarios de la interfaz de administración. Cuando un host virtual en un nodo RabbitMQ no se inicia, las versiones recientes mostrarán un mensaje de error (una notificación) en la interfaz de administración. El mensaje de error incluye el nombre del host virtual, que no se escapaba antes de las versiones de código abierto RabbitMQ 4.0.3 y Tanzu RabbitMQ 4.0.3, 3.13.8. Un ataque que provoque el inicio de un host virtual y cree un nuevo nombre de host virtual con un fragmento de código XSS o cambie el nombre de un host virtual existente en el disco podría provocar la ejecución de código JavaScript arbitrario en la interfaz de administración (el navegador del usuario). Las versiones de código abierto RabbitMQ 4.0.3 y Tanzu RabbitMQ 4.0.3 y 3.13.8 solucionan el problema.