Vulnerabilidad en nats-server de nats-io (CVE-2026-33218)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
25/03/2026
Última modificación:
30/06/2026
Descripción
NATS-Server es un servidor de alto rendimiento para NATS.io, un sistema de mensajería nativo de la nube y del borde. Antes de las versiones 2.11.15 y 2.12.6, un cliente que puede conectarse al puerto leafnode puede bloquear el nats-server con un mensaje malformado específico pre-autenticación. Las versiones 2.11.15 y 2.12.6 contienen una corrección. Como solución alternativa, deshabilite el soporte de leafnode si no es necesario o restrinja las conexiones de red al puerto leafnode, si es factible sin comprometer el servicio ofrecido.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:linuxfoundation:nats-server:*:*:*:*:*:*:*:* | 2.11.15 (excluyendo) | |
| cpe:2.3:a:linuxfoundation:nats-server:*:*:*:*:*:*:*:* | 2.12.0 (incluyendo) | 2.12.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://advisories.nats.io/CVE/secnote-2026-10.txt
- https://github.com/nats-io/nats-server/security/advisories/GHSA-vprv-35vv-q339
- https://access.redhat.com/errata/RHSA-2026:21769
- https://access.redhat.com/errata/RHSA-2026:22347
- https://access.redhat.com/errata/RHSA-2026:23345
- https://access.redhat.com/security/cve/CVE-2026-33218
- https://bugzilla.redhat.com/show_bug.cgi?id=2451450
- https://security.access.redhat.com/data/csaf/v2/vex/2026/cve-2026-33218.json



