Passer au contenu principal

CVE-2026-9133 – Lecture d’un fichier arbitraire dans le plug-in rabbitmq-aws

ID du bulletin : 2026-034-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 20/05/2026 à 12 h 45 (heure du Pacifique)
 

Description :

rabbitmq-aws est un plug-in RabbitMQ qui résout les ARN AWS dans la configuration des agents au démarrage, en récupérant des secrets (par exemple, des certificats TLS, des clés privées, des mots de passe) à partir des services AWS (Secrets Manager, S3, ACM Private CA) et en les transmettant in-memory à RabbitMQ. Nous avons identifié CVE-2026-9133, un problème lié au code de débogage actif dans le résolveur ARN du plug-in. Un schéma ARN de débogage (arn:aws-debug:file) accepté par le point de terminaison de validation PUT /api/aws/arn/validate peut permettre à des utilisateurs authentifiés à distance d’effectuer des lectures arbitraires sur tout fichier accessible au processus RabbitMQ. Le code de débogage a été intégré par inadvertance dans les versions de production sans qu’il soit possible de le désactiver.

Versions affectées : >=0.1.0, <=0.2.0

Résolution :

Ce problème a été résolu dans la version rabbitmq-aws 0.2.1. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou forké soit mis à jour afin d’intégrer les nouveaux correctifs. Nous vous recommandons également de renouveler tous les secrets stockés dans les fichiers auxquels le processus RabbitMQ avait accès en lecture.

Solutions de contournement :

Le plug-in peut être désactivé à l’aide de la commande rabbitmq-plugins aws. Cela supprime le point de terminaison de validation afin que toute autre requête PUT renvoie un code d’erreur 405 (méthode non autorisée) et que les ARN demandés ne soient pas récupérés. Notez que la désactivation du plug-in supprime également la résolution ARN au démarrage, ce qui signifie que l’agent devra revenir à une configuration de certificat basée sur le système de fichiers.

Références :


Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.