CVE-2026-33246

NATS-Server es un servidor de alto rendimiento para NATS.io, un sistema de mensajería nativo de la nube y del borde. El nats-server ofrece un encabezado de mensaje 'Nats-Request-Info:', que proporciona información sobre una solicitud. Se supone que esto proporciona suficiente información para permitir la identificación de cuenta/usuario, de modo que los clientes NATS puedan tomar sus propias decisiones sobre cómo confiar en un mensaje, siempre que confíen en el nats-server como un intermediario. Un nodo hoja que se conecta a un nats-server no es completamente confiable a menos que la cuenta del sistema también esté interconectada. Por lo tanto, las afirmaciones de identidad no deberían haberse propagado sin verificar. Antes de las versiones 2.11.15 y 2.12.6, los clientes NATS que dependían del encabezado 'Nats-Request-Info:' podían ser suplantados. Esto no afecta directamente al nats-server en sí, pero las puntuaciones de Confidencialidad e Integridad de CVSS se basan en lo que un cliente hipotético podría decidir hacer con este encabezado NATS. Las versiones 2.11.15 y 2.12.6 contienen una solución. No hay soluciones alternativas conocidas disponibles.