Критична вразливість виконання коду в aws-mcp-server через ін’єкцію команд AWS CLI (CVE-2026-5059)
Виявлено критичну вразливість у aws-mcp-server, що дозволяє віддалене виконання коду без автентифікації. Рекомендується перевірити оновлення та обмежити доступ.
- CVSS
- 9.8 CRITICAL
- EPSS
- 77.26%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
В aws-mcp-server виявлено критичну вразливість, що дозволяє віддаленим зловмисникам виконувати довільний код без автентифікації. Проблема полягає у недостатній перевірці користувацьких команд перед їх виконанням у системному виклику.
Бізнес-вплив
Ця вразливість може призвести до повного компрометації серверів, де встановлено aws-mcp-server, оскільки зловмисник може виконувати довільні команди з правами MCP сервера. Це створює серйозну загрозу для безпеки інфраструктури та конфіденційності даних.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень або патчів від постачальника aws-mcp-server. Якщо оновлення недоступні, слід обмежити доступ до сервера, ретельно перевірити журнали на ознаки експлуатації та застосувати заходи з мінімізації ризиків, включно з обмеженням мережевого доступу.