🔥 この記事の詳細
2026-04-13 更新
B
今週中

AWS向けMCPサーバ「aws-mcp-server」に、認証なしでリモートから任意のコードを実行(RCE)できる深刻なコマンドインジェクションの脆弱性

脆弱性
🔢 CVECVE-2026-5058
📅 2026-04-13📰 secnext
📌 一言でいうと
AWS向けMCPサーバ「aws-mcp-server」に、認証なしでリモートから任意のコードを実行(RCE)できる深刻なコマンドインジェクションの脆弱性が発見されました。CVSS v3.0のベーススコアは9.8(クリティカル)と非常に高く、コマンドの許可リスト処理における検証不足が原因です。ZDIが報告しましたが、開発者側は脆弱性の指摘を却下しており、修正状況は不明となっています。
🏢影響範囲
aws-mcp-serverを利用してAIアシスタントにAWS操作をさせている組織・開発者
該当時の対応
当該ソフトウェアの利用を直ちに停止するか、信頼できるネットワーク内のみで制限して運用することを推奨します。開発者による修正が公開されるまで、入力値の検証を強制するプロキシやWAFの導入を検討してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】aws-mcp-server CVE-2026-5058 対応について

お疲れさまです。aws-mcp-serverにおける深刻な脆弱性に関する情報共有です。

■ 概要
AWS向けMCPサーバ「aws-mcp-server」に、認証不要でリモートから任意のコード実行が可能なコマンドインジェクションの脆弱性が指摘されています。CVSS v3.0スコアは9.8(Critical)と極めて高く、攻撃者がAWS環境を完全に制御されるリスクがあります。

■ 影響範囲
- 対象製品: aws-mcp-server
- 脆弱性: CVE-2026-5058

■ 対応手順
1. 社内で当該ツール(aws-mcp-server)を利用している環境がないか至急確認してください。
2. 修正パッチが提供されていないため、利用している場合は直ちに停止するか、外部からのアクセスを完全に遮断してください。
3. 開発者の修正状況を継続的に監視してください。

■ 参考情報
- ZDI Advisory / NVD (CVE-2026-5058)

対応優先度: 高
対応期限: 至急
Subject: [Security Alert] Critical RCE Vulnerability in aws-mcp-server (CVE-2026-5058)

Dear Team,

We are sharing information regarding a critical vulnerability found in the 'aws-mcp-server'.

■ Overview
An unauthenticated remote code execution (RCE) vulnerability (CVE-2026-5058) has been reported in the aws-mcp-server. Due to improper validation of the command allow-list, an attacker can execute arbitrary commands. The CVSS v3.0 base score is 9.8 (Critical).

■ Scope
- Product: aws-mcp-server
- CVE: CVE-2026-5058

■ Action Plan
1. Immediately identify if 'aws-mcp-server' is deployed within our infrastructure.
2. Since the developer has not yet acknowledged/fixed the issue, we recommend disabling the service or restricting access to trusted internal networks only.
3. Monitor for official updates or patches from the maintainer.

■ Reference
- ZDI Advisory / NVD (CVE-2026-5058)

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-04-13 のまとめ🔍 記事を検索