ID бюллетеня: 2026-034-AWS Область применения: AWS Тип содержания: Важно (требует внимания) Дата публикации: 20.05.2026 12:45 PM PDT Описание: rabbitmq-aws — это плагин RabbitMQ, который разрешает ARN AWS в конфигурации брокера при запуске, получая секреты (например, сертификаты TLS, приватные ключи, пароли) из сервисов AWS (Secrets Manager, S3, ACM Private CA) и передавая их в память в RabbitMQ. Мы выявили CVE-2026-9133 — активную проблему отладочного кода в резолвере ARN плагина. Схема отладки ARN (arn:aws-debug:file), принятая конечной точкой валидации PUT /api/aws/arn/validate, может позволить удалённые аутентифицированные пользователи выполнять произвольные чтения файлов для любого файла, доступного процессу RabbitMQ. Код отладки был случайно выпущен в производственных сборках без механизма отключения. Изменённые версии: >=0.1.0, <=0.2.0 Пожалуйста, ознакомьтесь с статьёй ниже для получения самой актуальной и полной информации, связанной с этим информационным бюллетенем по безопасности AWS.