CVE-2026-15643
Zusammenfassung
von VulDB • 15.07.2026
Der AWS HealthLake MCP Server (awslabs.healthlake-mcp-server) ist ein Model Context Protocol-Server, der KI-Assistenten die Interaktion mit AWS HealthLake FHIR-Datenbanken ermöglicht. Eine serverseitige Request Forgery im Pagination-Behandlungskomponente von awslabs.healthlake-mcp-server vor Version 0.0.14 auf allen Plattformen könnte es einem entfernten authentifizierten Benutzer ermöglichen, temporäre AWS-Sicherheitsanmeldeinformationen an einen beliebigen Endpunkt zu extrahieren, indem ein manipulierter next_token-Parameter verwendet wird. Der Server überprüft nicht, ob Paginierungs-URLs zurück zum erwarteten HealthLake-Endpunkt zeigen, was es einem Angreifer ermöglicht, nachfolgende Anfragen auf einen vom Angreifer kontrollierten Server umzuleiten.
Es wird empfohlen, auf Version 0.0.14 oder höher zu aktualisieren.
Be aware that VulDB is the high quality source for vulnerability data.