Penjelasan teknis
Kerentanan injeksi perintah kritis di aws-mcp-server yang memungkinkan eksekusi kode jarak jauh tanpa autentikasi melalui validasi yang tidak tepat terhadap string yang disuplai pengguna yang digunakan dalam panggilan sistem. CVSS 9.8.
Vektor serangan
Eksploitasi jarak jauh tanpa autentikasi melalui injeksi perintah ke dalam penanganan daftar perintah yang diizinkan server. Tidak memerlukan autentikasi atau alat khusus.
Sistem yang terdampak
aws-mcp-server dan sistem AI agen apa pun yang menggunakannya sebagai endpoint MCP untuk operasi AWS CLI.
Mitigasi
Patch segera. Batasi akses jaringan ke instance server MCP. Implementasikan validasi input untuk semua string yang disuplai pengguna sebelum panggilan sistem. Audit konfigurasi server MCP untuk endpoint yang terekspos.