公告 ID：2026-034-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 5 月 20 日中午 12:45 (太平洋夏令時間)
 

描述：

rabbitmq-aws 是 RabbitMQ 外掛程式，會在啟動時解析代理程式設定中的 AWS ARN，從 AWS 服務 (Secrets Manager、S3、ACM Private CA) 擷取機密資料 (例如 TLS 憑證、私鑰、密碼)，並在記憶體中傳遞給 RabbitMQ。我們發現了 CVE-2026-9133，此為該外掛程式 ARN 解析器中殘留啟用中的除錯程式碼所造成的問題。PUT /api/aws/arn/validate 驗證端點接受一個除錯用途的 ARN 配置 (arn:aws-debug:file)，可能允許遠端已認證使用者讀取 RabbitMQ 行程有權存取之任意檔案。該除錯程式碼不慎隨正式版釋出，且沒有任何關閉機制。

受影響版本：>=0.1.0，<=0.2.0

解決方案：

此問題已在 rabbitmq-aws 版本 0.2.1 中修復。建議您升級至最新版本，並確保所有分支或衍生程式碼皆已套用修補程式，以納入最新修正。我們也建議輪換儲存在 RabbitMQ 行程具有讀取權限之檔案中的所有機密資料。

變通方法：

可以透過執行 rabbitmq-plugins disable aws 來停用該外掛程式。這麼做會移除驗證端點，使得後續任何 PUT 請求都會回傳 405 (方法不允許)，且不會擷取所請求的 ARN。請注意，停用外掛程式也會移除啟動時的 ARN 解析功能，這表示代理程式將需要回退到以檔案系統為基礎的憑證設定。

參考資料：

• CVE-2026-9133
• GHSA-8554-wg4r-7hxm

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。