Этот бюллетень безопасности AWS, ID 2026-007, касается AWS API MCP Server, инструмента с открытым исходным кодом, облегчающего взаимодействие AI-ассистента с AWS. MCP Server использует команды AWS CLI, позволяя пользователям программно управлять ресурсами AWS. Его настраиваемая функция доступа к файлам контролирует взаимодействие CLI с локальной файловой системой с помощью таких опций, как workdir, unrestricted и no-access. В ограничениях доступа к файлам версий 0.2.14 - 1.3.8 была обнаружена уязвимость CVE-2026-4270. Эта уязвимость позволяет потенциально обойти предусмотренные ограничения доступа к файлам. В частности, она затрагивает конфигурации "no-access" и "workdir", потенциально открывая произвольное содержимое локальных файлов. Эта уязвимость представляет собой угрозу безопасности, поскольку потенциально может раскрыть конфиденциальную информацию. Затронутыми версиями awslabs.aws-api-mcp-server являются >= 0.2.14 и < 1.3.9. Для получения подробной информации и инструкций по устранению неполадок пользователям следует обратиться к предоставленной статье. Данный бюллетень требует немедленного внимания в связи с потенциальными последствиями для безопасности. Дата публикации бюллетеня - 16 марта 2026 года.