Linuxfoundation

Nats-server

24 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
7.5

CVE-2026-29785

  • EPSS 0.13%
  • Veröffentlicht 25.03.2026 19:38:44
  • Zuletzt bearbeitet 26.03.2026 17:13:31

NATS-Server is a High-Performance server for NATS.io, a cloud and edge native messaging system. Prior to versions 2.11.14 and 2.12.5, if the nats-server has the "leafnode" configuration enabled (not default), then anyone who can connect can crash the...

7.5

CVE-2026-27889

  • EPSS 0.09%
  • Veröffentlicht 25.03.2026 19:36:36
  • Zuletzt bearbeitet 26.03.2026 17:13:16

NATS-Server is a High-Performance server for NATS.io, a cloud and edge native messaging system. Starting in version 2.2.0 and prior to versions 2.11.14 and 2.12.5, a missing sanity check on a WebSockets frame could trigger a server panic in the nats-...

6.5

CVE-2026-33215

  • EPSS 0.02%
  • Veröffentlicht 24.03.2026 21:16:28
  • Zuletzt bearbeitet 26.03.2026 17:19:15

NATS-Server is a High-Performance server for NATS.io, a cloud and edge native messaging system. The nats-server provides an MQTT client interface. Prior to versions 2.11.15 and 2.12.5, Sessions and Messages can by hijacked via MQTT Client ID malfeasa...

7.5

CVE-2026-27571

  • EPSS 0.03%
  • Veröffentlicht 24.02.2026 15:59:17
  • Zuletzt bearbeitet 26.02.2026 19:06:26

NATS-Server is a High-Performance server for NATS.io, a cloud and edge native messaging system. The WebSockets handling of NATS messages handles compressed messages via the WebSockets negotiated compression. Prior to versions 2.11.2 and 2.12.3, the i...

7.5

CVE-2023-46129

  • EPSS 0.15%
  • Veröffentlicht 31.10.2023 00:15:09
  • Zuletzt bearbeitet 30.03.2026 14:30:00

NATS.io is a high performance open source pub-sub distributed communication technology, built for the cloud, on-premise, IoT, and edge computing. The cryptographic key handling library, nkeys, recently gained support for encryption, not just for sign...

6.5

CVE-2023-47090

  • EPSS 0.26%
  • Veröffentlicht 30.10.2023 17:15:52
  • Zuletzt bearbeitet 21.11.2024 08:29:44

NATS nats-server before 2.9.23 and 2.10.x before 2.10.2 has an authentication bypass. An implicit $G user in an authorization block can sometimes be used for unauthenticated access, even when the intention of the configuration was for each user to ha...

9.8

CVE-2022-28357

  • EPSS 0.23%
  • Veröffentlicht 19.09.2023 02:15:54
  • Zuletzt bearbeitet 21.11.2024 06:57:12

NATS nats-server 2.2.0 through 2.7.4 allows directory traversal because of an unintended path to a management action from a management account.

6.5

CVE-2022-26652

  • EPSS 0.68%
  • Veröffentlicht 10.03.2022 17:47:51
  • Zuletzt bearbeitet 30.03.2026 14:30:00

NATS nats-server before 2.7.4 allows Directory Traversal (with write access) via an element in a ZIP archive for JetStream streams. nats-streaming-server before 0.24.3 is also affected.

9

CVE-2022-24450

  • EPSS 0.65%
  • Veröffentlicht 08.02.2022 02:15:06
  • Zuletzt bearbeitet 30.03.2026 14:30:00

NATS nats-server before 2.7.2 has Incorrect Access Control. Any authenticated user can obtain the privileges of the System account by misusing the "dynamically provisioned sandbox accounts" feature.

7.5

CVE-2021-3127

Exploit
  • EPSS 0.29%
  • Veröffentlicht 16.03.2021 20:15:13
  • Zuletzt bearbeitet 30.03.2026 14:30:00

NATS Server 2.x before 2.2.0 and JWT library before 2.0.1 have Incorrect Access Control because Import Token bindings are mishandled.