公告编号：2026-034-AWS 范围：AWS 内容类型：重要（需关注） 发布日期：2026年5月20日 太平洋夏令时间中午12：45描述：rabbitmq-aws 是一个 RabbitMQ 插件，可在启动时解析 AWS ARN 的代理配置，从 AWS 服务（Secrets Manager、S3、ACM Private CA）获取秘密（如 TLS 证书、私钥、密码），并将其存内存传递给 RabbitMQ。我们发现了 CVE-2026-9133，这是插件 ARN 解析器中一个活跃的调试代码问题。PUT /api/aws/arn/validate 验证端点接受的调试 ARN 方案（arn：aws-debug：file）可能允许远程认证用户对 RabbitMQ 进程可访问的任何文件进行任意文件读取。调试代码在生产版本中被无意中发布，且没有禁用它的机制。受影响版本：>=0.1.0，<=0.2.0请参阅以下文章，获取与本AWS安全公告相关的最新完整信息。