Критична вразливість виконання коду в aws-mcp-server (CVE-2026-5058)

Виявлено критичну вразливість в aws-mcp-server, що дозволяє віддалене виконання коду без автентифікації. Рекомендується перевірити оновлення та обмежити доступ.
CVE-2026-5058CVSS 9.8General

Критична вразливість виконання коду в aws-mcp-server (CVE-2026-5058)

Виявлено критичну вразливість в aws-mcp-server, що дозволяє віддалене виконання коду без автентифікації. Рекомендується перевірити оновлення та обмежити доступ.

CVSS
9.8 CRITICAL
EPSS
76.25%
Активно використовується
немає в KEV
Продукт
-

Що відомо

В aws-mcp-server виявлено критичну вразливість ін’єкції команд, що дозволяє віддаленим зловмисникам виконувати довільний код без автентифікації. Проблема полягає у недостатній перевірці рядка команд перед їх виконанням у системному виклику.

Бізнес-вплив

Ця вразливість може призвести до повного контролю над сервером MCP, що ставить під загрозу цілісність і доступність інфраструктури. Відсутність вимоги автентифікації значно підвищує ризик експлуатації, особливо в публічно доступних середовищах.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень або патчів від постачальника aws-mcp-server. Якщо оновлення недоступні, слід обмежити доступ до сервера, ретельно перевірити журнали на ознаки експлуатації та впровадити додаткові заходи контролю доступу. Пріоритетно оцінити ризики та підготувати план реагування.

Джерела