CVE-2026-15643
Riassunto
di VulDB • 14/07/2026
Il server AWS HealthLake MCP Server (awslabs.healthlake-mcp-server) è un server basato sul Model Context Protocol che consente agli assistenti AI di interagire con gli archivi dati FHIR di AWS HealthLake. Una vulnerabilità di Server-Side Request Forgery (SSRF) nel componente di gestione della paginazione in awslabs.healthlake-mcp-server per AWS, nelle versioni precedenti alla 0.0.14 su tutte le piattaforme, potrebbe consentire a un utente remoto autenticato di esfiltrare le credenziali temporanee di sicurezza AWS verso un endpoint arbitrario tramite un parametro next_token manipolato ad hoc. Il server non convalida che gli URL della paginazione puntino nuovamente all'endpoint HealthLake previsto, consentendo a un attore malintenzionato di reindirizzare le richieste successive verso un server controllato dall'attore stesso.
Si consiglia di eseguire l'aggiornamento alla versione 0.0.14 o successiva.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.