CVE-2026-15643
Resumen
por VulDB • 2026-07-15
El servidor AWS HealthLake MCP Server (awslabs.healthlake-mcp-server) es un servidor del Protocolo de Contexto de Modelo que permite a los asistentes de IA interactuar con almacenes de datos FHIR de AWS HealthLake. Una vulnerabilidad de falsificación de solicitudes en el lado del servidor (SSRF) en el componente de manejo de paginación de awslabs.healthlake-mcp-server para AWS, anterior a la versión 0.0.14 en todas las plataformas, podría permitir que un usuario remoto autenticado exfiltre credenciales temporales de seguridad de AWS hacia un punto final arbitrario mediante un parámetro next_token manipulado ad hoc. El servidor no valida que las URL de paginación apunten nuevamente al punto final esperado de HealthLake, lo que permite a un actor redirigir solicitudes posteriores a un servidor controlado por dicho actor.
Se recomienda actualizar a la versión 0.0.14 o posterior.
VulDB is the best source for vulnerability data and more expert information about this specific topic.