CVE-2026-15643 in healthlake-mcp-serverthông tin

Tóm tắt

Bởi VulDB • 15/07/2026

Máy chủ AWS HealthLake MCP Server (awslabs.healthlake-mcp-server) là một máy chủ giao thức ngữ cảnh mô hình cho phép các trợ lý AI tương tác với kho dữ liệu FHIR của AWS HealthLake. Một lỗ hổng giả mạo yêu cầu phía máy chủ trong thành phần xử lý phân trang trên awslabs.healthlake-mcp-server trước phiên bản 0.0.14 trên tất cả các nền tảng có thể cho phép người dùng được xác thực từ xa đánh cắp thông tin đăng nhập bảo mật tạm thời của AWS và chuyển chúng đến một điểm cuối tùy ý thông qua tham số next_token được tạo ra đặc biệt. Máy chủ không xác minh rằng các URL phân trang trỏ ngược lại về điểm cuối HealthLake dự kiến, cho phép kẻ tấn công định hướng các yêu cầu tiếp theo tới máy chủ do chính họ kiểm soát.

Khuyến nghị nâng cấp lên phiên bản 0.0.14 hoặc mới hơn.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

AMZN

Đặt trước

13/07/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!