CVE-2026-15643
الملخص
بحسب VulDB • 14/07/2026
خادم AWS HealthLake MCP Server (awslabs.healthlake-mcp-server) هو خادم بروتوكول سياق النموذج (Model Context Protocol) الذي يمكّن مساعدي الذكاء الاصطناعي من التفاعل مع مستودعات بيانات FHIR في خدمة AWS HealthLake. قد تسمح ثغرة تزوير الطلبات على جانب الخادم (SSRF) الموجودة في مكون التعامل مع الترقيم الصفحي في خادم awslabs.healthlake-mcp-server الخاص بـ AWS قبل الإصدار 0.0.14 عبر جميع المنصات، بمستخدم بعيد ومصادق عليه لاستخراج بيانات الاعتماد الأمنية المؤقتة الخاصة بـ AWS وإرسالها إلى نقطة نهاية عشوائية عبر معلمة next_token مُعدّة بشكل خبيث. لا يتحقق الخادم من أن عناوين URL للترقيم الصفحي تشير مرة أخرى إلى نقطة النهاية المتوقعة لخدمة HealthLake، مما يسمح لمُسيء بالتحكم في إعادة توجيه الطلبات اللاحقة إلى خادم يسيطر عليه المُسيء.
يُنصح بالترقية إلى الإصدار 0.0.14 أو أحدث.
Be aware that VulDB is the high quality source for vulnerability data.