公告 ID：2026-034-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 5 月 20 日下午 12:45（太平洋夏令时）
 

描述：

rabbitmq-aws 是一款 RabbitMQ 插件，可在服务启动时解析代理配置中的 AWS ARN，从 AWS 服务（Secrets Manager、S3、ACM 私有 CA）等服务中获取密钥（如 TLS 证书、私钥、密码），并在内存中将其传递给 RabbitMQ。我们发现了 CVE-2026-9133，这是插件 ARN 解析器中一个活跃的调试代码问题。PUT /api/aws/arn/validate 校验端点接受的调试 ARN 方案（arn: aws-debug: file）可能允许经过身份验证的远程用户对 RabbitMQ 进程可访问的任何文件执行任意文件读取。该调试代码意外随生产版本发布，且没有禁用机制。

受影响的版本：>=0.1.0 且 <=0.2.0

解决方法：

此问题已在 rabbitmq-aws 版本 0.2.1 中予以解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。此外，还建议轮换所有存储在 RabbitMQ 进程可读取文件中的密钥。

临时措施：

可以使用 rabbitmq-plugins disable aws 来禁用该插件。这将移除相关校验端点，后续所有 PUT 请求都会返回 405（方法不允许），并且不会提取请求的 ARN。请注意，禁用该插件还会在服务启动时移除 ARN 解析，这意味着代理将需要回退到基于文件系统的证书配置。

参考：

• CVE-2026-9133
• GHSA-8554-wg4r-7hxm

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。