速報ID: 2026-034-AWS 範囲:AWS 内容タイプ:重要(注意が必要) 発行日:2026年5月20日 12:45 PDT説明:rabbitmq-awsは、起動時にAWS ARNをブローカー構成で解決し、AWSサービス(Secrets Manager、S3、ACM Private CA)から秘密(TLS証明書、秘密鍵、パスワードなど)を取得し、それをメモリ内でRabbitMQに渡すRabbitMQプラグインです。プラグインのARNリゾルバでアクティブなデバッグコードの問題であるCVE-2026-9133を特定しました。PUT /api/aws/arn/validate validationエンドポイントで受け入れられるデバッグARNスキーム(arn:aws-debug:file)により、リモート認証されたユーザーがRabbitMQプロセスにアクセスできる任意のファイル読み取りを行うことが可能になります。デバッグコードは本番ビルドに誤って提供され、無効化の仕組みはありませんでした。影響を受けたバージョン:>=0.1.0, <=0.2.0このAWSセキュリティブリテンに関する最新かつ完全な情報については、以下の記事をご参照ください。