ID do boletim: 2026-034-AWS
Escopo: AWS
Tipo de conteúdo: importante (requer atenção)
Data da publicação: 20/05/2026 12:45 PDT
 

Descrição:

O rabbitmq-aws é um plug-in do RabbitMQ que resolve os ARNs da AWS na configuração do broker durante a inicialização, obtendo segredos (por exemplo, certificados TLS, chaves privadas, senhas) dos serviços da AWS (Secrets Manager, S3, ACM Private CA) e os repassa em memória para o RabbitMQ. Identificamos a vulnerabilidade CVE-2026-9133, um problema no código de depuração ativo do resolvedor de ARN do plug-in. Um esquema de ARN de depuração (arn:aws-debug:file) aceito pelo endpoint de validação PUT /api/aws/arn/validate pode permitir que usuários remotos autenticados realizem leituras arbitrárias em qualquer arquivo acessível ao processo do RabbitMQ. O código de depuração foi incluído acidentalmente nas compilações de produção, sem nenhum mecanismo para desabilitá-lo.

Versões afetadas: >=0.1.0, <=0.2.0

Resolução:

Esse problema foi resolvido no rabbitmq-aws versão 0.2.1. Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções. Recomendamos também a alternância de quaisquer segredos armazenados em arquivos aos quais o processo do RabbitMQ tenha acesso de leitura.

Soluções alternativas:

O plug-in pode ser desativado com o comando rabbitmq-plug-ins disable aws. Isso realiza a remoção do endpoint de validação, de modo que quaisquer solicitações PUT posteriores retornem o código de erro 405 (Método não permitido) e os ARNs solicitados não sejam obtidos. Observe que desativar o plug-in também desativa a resolução de ARN na inicialização, o que significa que o broker precisará recorrer à configuração de certificados baseada no sistema de arquivos.

Referências:

• CVE-2026-9133
• GHSA-8554-wg4r-7hxm

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.