このAWSセキュリティ情報（ID 2026-007）は、AWS API MCP Server（AIアシスタントとAWSとの対話を容易にするオープンソースツール）に関するものです。MCP ServerはAWS CLIコマンドを利用し、ユーザがプログラムでAWSリソースを管理できるようにします。その設定可能なファイルアクセス機能は、workdir、unrestricted、no-accessなどのオプションを使用して、ローカルファイルシステムとのCLIインタラクションを制御します。バージョン0.2.14から1.3.8までのファイルアクセス制限に脆弱性CVE-2026-4270が確認されている。この脆弱性は、意図されたファイルアクセス制限をバイパスする可能性があります。具体的には、"no-access" と "workdir" の設定に影響し、任意のローカルファイルの内容が公開される可能性があります。この脆弱性は、機密情報を暴露する可能性があり、セキュリティ上のリスクとなります。影響を受ける awslabs.aws-api-mcp-server のバージョンは >= 0.2.14 および < 1.3.9 です。ユーザーは、包括的な詳細と対処方法について、提供されている記事を参照してください。セキュリティに影響を与える可能性があるため、この問題には早急な対応が必要です。公開日は 2026 年 3 月 16 日です。