anonhaven

CVE-2026-4270

MEDIUM CVSS 4.0: 6,8 EPSS 0.01%
Обновлено 17 марта 2026
Параметр Значение
CVSS 6,8 (MEDIUM)
Устранено в версии 1.3.9
Тип уязвимости CWE-424
Публичный эксплойт Нет

Неправильная защита альтернативного пути существует в функции отсутствия доступа и рабочего каталога серверов AWS API MCP версий >= 0.2.14 и < 1.3.9 на всех платформах, что может позволить обойти предполагаемое ограничение доступа к файлам и раскрыть произвольное содержимое локального файла в контексте клиентского приложения MCP. Чтобы устранить эту проблему, пользователям следует выполнить обновление до версии 1.3.9.

Показать оригинальное описание (EN)

Improper Protection of Alternate Path exists in the no-access and workdir feature of the AWS API MCP Server versions >= 0.2.14 and < 1.3.9 on all platforms may allow the bypass of intended file access restriction and expose arbitrary local file contents in the MCP client application context. To remediate this issue, users should upgrade to version 1.3.9.

Характеристики атаки

Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-424

Ссылки 2

https://aws.amazon.com/security/security-bulletins/2026-007-AWS/
ff89ba41-3aa1-4d27-914a-91399e9639e5
https://pypi.org/project/awslabs.aws-api-mcp-server/1.3.9/
ff89ba41-3aa1-4d27-914a-91399e9639e5
Share Post Share Share Share