ID del boletín: 2026-034-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 20/05/2026 12:45 h PDT
 

Descripción:

rabbitmq-aws es un complemento de RabbitMQ que resuelve los ARN de AWS en la configuración del agente al inicio, obteniendo secretos (por ejemplo, certificados TLS, claves privadas, contraseñas) de los servicios de AWS (Secrets Manager, S3, ACM Private CA) y pasándolos en memoria a RabbitMQ. Identificamos la vulnerabilidad CVE-2026-9133, un problema de código de depuración activo en el solucionador de ARN del complemento. Un esquema de ARN de depuración (arn:aws-debug:file) aceptado por el punto de conexión de validación PUT /api/aws/arn/validate podría permitir a los usuarios autenticados de forma remota realizar lecturas arbitrarias de archivos en cualquier archivo accesible desde el proceso de RabbitMQ. El código de depuración se envió inadvertidamente en compilaciones de producción sin ningún mecanismo para desactivarlo.

Versiones afectadas: >=0.1.0, <=0.2.0

Resolución:

Este problema se ha corregido en la versión 0.2.1 de rabbitmq-aws. Recomendamos actualizar a la versión más reciente y verificar que cualquier código derivado o bifurcado incorpore las nuevas correcciones. También recomendamos rotar los secretos almacenados en los archivos a los que el proceso de RabbitMQ haya tenido acceso de lectura.

Soluciones alternativas:

El complemento se puede desactivar con rabbitmq-plugins disable aws. Esto elimina el punto de conexión de validación para que cualquier otra solicitud PUT devuelva 405 (Method Not Allowed) y no se recuperen los ARN solicitados. Tenga en cuenta que la desactivación del complemento también elimina la resolución de ARN al inicio, lo que significa que el agente tendrá que volver a la configuración de certificados basada en el sistema de archivos.

Referencias:

• CVE-2026-9133
• GHSA-8554-wg4r-7hxm

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.