CVE-2026-15643 in healthlake-mcp-server
Tóm tắt
Bởi VulDB • 15/07/2026
Máy chủ AWS HealthLake MCP Server (awslabs.healthlake-mcp-server) là một máy chủ giao thức ngữ cảnh mô hình cho phép các trợ lý AI tương tác với kho dữ liệu FHIR của AWS HealthLake. Một lỗ hổng giả mạo yêu cầu phía máy chủ trong thành phần xử lý phân trang trên awslabs.healthlake-mcp-server trước phiên bản 0.0.14 trên tất cả các nền tảng có thể cho phép người dùng được xác thực từ xa đánh cắp thông tin đăng nhập bảo mật tạm thời của AWS và chuyển chúng đến một điểm cuối tùy ý thông qua tham số next_token được tạo ra đặc biệt. Máy chủ không xác minh rằng các URL phân trang trỏ ngược lại về điểm cuối HealthLake dự kiến, cho phép kẻ tấn công định hướng các yêu cầu tiếp theo tới máy chủ do chính họ kiểm soát.
Khuyến nghị nâng cấp lên phiên bản 0.0.14 hoặc mới hơn.
Be aware that VulDB is the high quality source for vulnerability data.