Критична вразливість виконання коду в aws-mcp-server (CVE-2026-5058)
Виявлено критичну вразливість в aws-mcp-server, що дозволяє віддалене виконання коду без автентифікації. Рекомендується перевірити оновлення та обмежити доступ.
- CVSS
- 9.8 CRITICAL
- EPSS
- 76.25%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
В aws-mcp-server виявлено критичну вразливість ін’єкції команд, що дозволяє віддаленим зловмисникам виконувати довільний код без автентифікації. Проблема полягає у недостатній перевірці рядка команд перед їх виконанням у системному виклику.
Бізнес-вплив
Ця вразливість може призвести до повного контролю над сервером MCP, що ставить під загрозу цілісність і доступність інфраструктури. Відсутність вимоги автентифікації значно підвищує ризик експлуатації, особливо в публічно доступних середовищах.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень або патчів від постачальника aws-mcp-server. Якщо оновлення недоступні, слід обмежити доступ до сервера, ретельно перевірити журнали на ознаки експлуатації та впровадити додаткові заходи контролю доступу. Пріоритетно оцінити ризики та підготувати план реагування.