Критична вразливість виконання коду в aws-mcp-server через ін’єкцію команд AWS CLI (CVE-2026-5059)

Виявлено критичну вразливість у aws-mcp-server, що дозволяє віддалене виконання коду без автентифікації. Рекомендується перевірити оновлення та обмежити доступ.
CVE-2026-5059CVSS 9.8General

Критична вразливість виконання коду в aws-mcp-server через ін’єкцію команд AWS CLI (CVE-2026-5059)

Виявлено критичну вразливість у aws-mcp-server, що дозволяє віддалене виконання коду без автентифікації. Рекомендується перевірити оновлення та обмежити доступ.

CVSS
9.8 CRITICAL
EPSS
77.26%
Активно використовується
немає в KEV
Продукт
-

Що відомо

В aws-mcp-server виявлено критичну вразливість, що дозволяє віддаленим зловмисникам виконувати довільний код без автентифікації. Проблема полягає у недостатній перевірці користувацьких команд перед їх виконанням у системному виклику.

Бізнес-вплив

Ця вразливість може призвести до повного компрометації серверів, де встановлено aws-mcp-server, оскільки зловмисник може виконувати довільні команди з правами MCP сервера. Це створює серйозну загрозу для безпеки інфраструктури та конфіденційності даних.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень або патчів від постачальника aws-mcp-server. Якщо оновлення недоступні, слід обмежити доступ до сервера, ретельно перевірити журнали на ознаки експлуатації та застосувати заходи з мінімізації ризиків, включно з обмеженням мережевого доступу.

Джерела