Krytyczna luka RCE w aws-mcp-server przez wstrzyknięcie poleceń w AWS CLI (CVE-2026-5059)

Krytyczna luka w aws-mcp-server pozwala na zdalne wykonanie kodu bez uwierzytelniania. Sprawdź zalecenia bezpieczeństwa i działania naprawcze.
CVE-2026-5059CVSS 9.8General

Krytyczna luka RCE w aws-mcp-server przez wstrzyknięcie poleceń w AWS CLI (CVE-2026-5059)

Krytyczna luka w aws-mcp-server pozwala na zdalne wykonanie kodu bez uwierzytelniania. Sprawdź zalecenia bezpieczeństwa i działania naprawcze.

CVSS
9.8 CRITICAL
EPSS
77.26%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W aws-mcp-server wykryto krytyczną lukę umożliwiającą zdalne wykonanie kodu bez uwierzytelniania poprzez wstrzyknięcie poleceń w AWS CLI. Problem wynika z braku odpowiedniej walidacji listy dozwolonych poleceń, co pozwala atakującemu na wykonanie dowolnego kodu w kontekście serwera MCP.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury korzystającej z aws-mcp-server, umożliwiając zdalne przejęcie kontroli nad serwerem bez potrzeby uwierzytelniania. Może to prowadzić do nieautoryzowanego dostępu, utraty danych oraz dalszej eskalacji ataku w środowisku IT.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od dostawcy aws-mcp-server. W międzyczasie ogranicz ekspozycję serwera na nieznane źródła, monitoruj logi pod kątem podejrzanej aktywności i priorytetyzuj wdrożenie zabezpieczeń minimalizujących ryzyko wykorzystania tej luki.

Źródła