Vulnerabilities > CVE-2022-24450 - Missing Authorization vulnerability in Nats Server and Nats Streaming Server

CVSS 8.8 - HIGH

Attack vector

NETWORK

Attack complexity

LOW

Privileges required

LOW

Confidentiality impact

HIGH

Integrity impact

HIGH

Availability impact

HIGH

network

low complexity

nats

CWE-862

NVD

Published: 2022-02-08

Updated: 2023-08-08

Summary

NATS nats-server before 2.7.2 has Incorrect Access Control. Any authenticated user can obtain the privileges of the System account by misusing the "dynamically provisioned sandbox accounts" feature.

Vulnerable Configurations

Part	Description	Count
Application	Nats Nats Nats Streaming Server 0.15.0 Nats Nats Streaming Server 0.15.1 Nats Nats Streaming Server 0.16.0 Nats Nats Streaming Server 0.16.2 Nats Nats Streaming Server 0.17.0 Nats Nats Streaming Server 0.18.0 Nats Nats Streaming Server 0.19.0 Nats Nats Streaming Server 0.20.0 Nats Nats Streaming Server 0.21.0 Nats Nats Streaming Server 0.21.1 Nats Nats Streaming Server 0.21.2 Nats Nats Streaming Server 0.22.0 Nats Nats Streaming Server 0.22.1 Nats Nats Streaming Server 0.23.0 Nats Nats Streaming Server 0.23.1 Nats Nats Streaming Server 0.23.2 Nats Nats Streaming Server 0.24.0 Nats Nats Server 2.0.0 Nats Nats Server 2.0.2 Nats Nats Server 2.0.4 Nats Nats Server 2.1.0 Nats Nats Server 2.1.2 Nats Nats Server 2.1.4 Nats Nats Server 2.1.6 Nats Nats Server 2.1.7 Nats Nats Server 2.1.8 Nats Nats Server 2.1.9 Nats Nats Server 2.2.0 Nats Nats Server 2.2.1 Nats Nats Server 2.2.2 Nats Nats Server 2.2.3 Nats Nats Server 2.2.4 Nats Nats Server 2.2.5 Nats Nats Server 2.2.6 Nats Nats Server 2.3.0 Nats Nats Server 2.3.1 Nats Nats Server 2.3.2 Nats Nats Server 2.3.3 Nats Nats Server 2.3.4 Nats Nats Server 2.4.0 Nats Nats Server 2.5.0 Nats Nats Server 2.6.0 Nats Nats Server 2.6.1 Nats Nats Server 2.6.2 Nats Nats Server 2.6.3 Nats Nats Server 2.6.4 Nats Nats Server 2.6.5 Nats Nats Server 2.6.6 Nats Nats Server 2.7.0 Nats Nats Server 2.7.1	54

Common Weakness Enumeration (CWE)

CWE-862 - Missing Authorization

Summary

Vulnerable Configurations

Common Weakness Enumeration (CWE)

References