CVE-2026-15643
要約
〜によって VulDB • 2026年07月15日
AWS HealthLake MCP Server (awslabs.healthlake-mcp-server) は、AI アシスタントが AWS HealthLake FHIR データストアと対話できるようにする Model Context Protocol サーバーです。すべてのプラットフォームにおける awslabs.healthlake-mcp-server の 0.0.14 より前のバージョンでは、ページネーション処理コンポーネントにサーバーサイドリクエストフォージェリ (SSRF) が存在し、攻撃者が作成された next_token パラメータを使用して、認証済みリモートユーザーが AWS の一時的なセキュリティ資格情報を任意のエンドポイントへ漏洩させる可能性があります。このサーバーは、ページネーション URL が予期される HealthLake エンドポイントを指していることを検証しないため、アクターが後続のリクエストを攻撃者が制御するサーバーにリダイレクトすることが可能です。
0.0.14 以降のバージョンへのアップグレードを推奨します。
If you want to get best quality of vulnerability data, you may have to visit VulDB.