CVE-2025-63604

Nome do Software Vulnerável e Versões Afetadas baryhuang/mcp-server-aws-resources-python versão 0.1.0

Descrição Existe uma vulnerabilidade de injeção de código devido à validação de entrada insuficiente no método execute query. Isso permite a execução remota de código ao expor funções nativas perigosas do Python (import, getattr, hasattr) no namespace de execução e utilizar diretamente exec() para executar código fornecido pelo usuário. Um atacante pode criar consultas maliciosas para executar código Python arbitrário, o que pode levar ao roubo de credenciais da AWS (AWS ACCESS KEY ID, AWS SECRET ACCESS KEY), acesso ao sistema de arquivos e exposição de variáveis de ambiente. Isso pode resultar no comprometimento do sistema e acesso não autorizado a recursos sensíveis da AWS.

Recomendações Atualize para uma versão mais recente que contenha a correção para esta vulnerabilidade. Como solução temporária, considere restringir o acesso à função execute query até que uma correção esteja disponível.