CVE-2026-58208 NATS Server: MQTT-over-WebSocket Vulnerability
A security flaw in NATS Server allows attackers to crash WebSocket-only JetStream servers by sending specific requests, even before the MQTT feature is officially turned on.

English Brief
A security flaw in NATS Server allows attackers to crash WebSocket-only JetStream servers by sending specific requests, even before the MQTT feature is officially turned on.
الموجز العربي
ثغرة في خادم NATS المتعلقة بـ MQTT-over-WebSocket
تم اكتشاف ثغرة أمنية في خادم NATS تسمح للمهاجمين بإيقاف خوادم JetStream عن العمل عبر إرسال طلبات محددة، حتى قبل تفعيل ميزة MQTT.
- 1Verify current version: nats-server --version
- 2Download and install the latest stable binary from the official repository
- 3Restart the service to apply the fix: systemctl restart nats-server
English Advisory
// Intelligence Summary
CVE-2026-58208 is a vulnerability affecting NATS Server configurations where JetStream is active in a WebSocket-only mode. The flaw allows for service disruption through specific MQTT-over-WebSocket traffic patterns.
التقرير العربي
// Intelligence Summary
تتعلق الثغرة CVE-2026-58208 بإعدادات خادم NATS حيث يكون JetStream نشطاً في وضع WebSocket فقط. تسمح هذه الثغرة بتعطيل الخدمة من خلال أنماط حركة مرور محددة.
// Technical Context
The issue arises when the server processes incoming WebSocket connections attempting to negotiate MQTT protocols. In configurations where JetStream is initialized but MQTT functionality is not yet fully enabled or configured, the server fails to handle malformed or unexpected handshake sequences, leading to an unhandled panic and subsequent process termination.
// Technical Context
تنشأ المشكلة عندما يقوم الخادم بمعالجة اتصالات WebSocket الواردة التي تحاول التفاوض على بروتوكولات MQTT. في الإعدادات التي يتم فيها تهيئة JetStream ولكن ميزة MQTT لم يتم تفعيلها بالكامل، يفشل الخادم في التعامل مع تسلسلات المصافحة غير المتوقعة، مما يؤدي إلى توقف العملية.
// Exposure Notes
Systems are vulnerable if they run NATS Server versions susceptible to this handshake failure. The exposure is limited to environments utilizing WebSocket-only communication channels for JetStream data streams.
// Exposure Notes
تكون الأنظمة عرضة للخطر إذا كانت تستخدم إصدارات خادم NATS التي تعاني من فشل المصافحة هذا. يقتصر التعرض على البيئات التي تستخدم قنوات اتصال WebSocket فقط لتدفقات بيانات JetStream.
// Defensive Priority
Immediate update of the NATS Server binary to the patched release is recommended. Implement network-level filtering to restrict WebSocket traffic to trusted origins until the update is applied.
// Defensive Priority
يوصى بتحديث ملف خادم NATS إلى الإصدار المصحح فوراً. قم بتنفيذ تصفية على مستوى الشبكة لتقييد حركة مرور WebSocket بالمصادر الموثوقة حتى يتم تطبيق التحديث.
Mitigation Checklist
- 1Verify current version: nats-server --version
- 2Download and install the latest stable binary from the official repository
- 3Restart the service to apply the fix: systemctl restart nats-server
- 4Review configuration to ensure unnecessary features are disabled
قائمة إجراءات التخفيف
- 1تحقق من الإصدار الحالي: nats-server --version
- 2قم بتنزيل وتثبيت أحدث إصدار مستقر من المستودع الرسمي
- 3أعد تشغيل الخدمة لتطبيق الإصلاح: systemctl restart nats-server
- 4راجع الإعدادات للتأكد من تعطيل الميزات غير الضرورية
- Source: Microsoft Security Response Center
# Update NATS Server to the latest patched version
# 1. Verify current version: nats-server --version
# 2. Download and install the latest stable binary from the official repository
# 3. Restart the service to apply the fix: systemctl restart nats-server
# 4. Review configuration to ensure unnecessary features are disabled