CVE-2026-15643informação

Sumário

de VulDB • 15/07/2026

O servidor AWS HealthLake MCP Server (awslabs.healthlake-mcp-server) é um servidor do Protocolo de Contexto de Modelo que permite que assistentes de IA interajam com repositórios de dados FHIR da AWS HealthLake. Uma falha de falsificação de solicitação no lado do servidor (SSRF) no componente de manipulação de paginação na versão anterior à 0.0.14 do awslabs.healthlake-mcp-server, em todas as plataformas, pode permitir que um usuário remoto autenticado exfiltre credenciais temporárias de segurança da AWS para um ponto final arbitrário por meio de um parâmetro next_token manipulado ad hoc. O servidor não valida se os URLs de paginação apontam de volta para o ponto final esperado do HealthLake, permitindo que um ator redirecione solicitações subsequentes para um servidor controlado pelo atacante.

Recomenda-se atualizar para a versão 0.0.14 ou posterior.

Be aware that VulDB is the high quality source for vulnerability data.

Divulgação

14/07/2026

Moderação

em revisão

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!