En bref

  • CVE-2026-5059 — injection de commande dans aws-mcp-server, CVSS 9.8 (critique)
  • Toutes les versions antérieures au correctif sont affectées — aucune authentification requise
  • Action urgente : mettre à jour aws-mcp-server immédiatement et auditer les commandes autorisées

Les faits

Publiée le 11 avril 2026 et référencée sous l'identifiant CVE-2026-5059, cette vulnérabilité critique affecte aws-mcp-server, un composant largement utilisé dans les architectures MCP (Model Context Protocol) pour permettre aux agents IA d'interagir avec les services AWS via la ligne de commande. Le score CVSS atteint 9.8 sur 10, ce qui la classe en sévérité critique selon le NVD/NIST.

La faille réside dans le mécanisme de validation de la liste de commandes autorisées (allowed command list). Le serveur ne vérifie pas correctement les chaînes fournies par l'utilisateur avant de les transmettre à un appel système pour exécution. Un attaquant distant non authentifié peut ainsi injecter des commandes arbitraires sur le système hôte, obtenant potentiellement un contrôle total du serveur.

Cette vulnérabilité est particulièrement préoccupante dans le contexte de l'adoption croissante du protocole MCP par les entreprises qui intègrent des agents IA dans leurs workflows. Selon les chercheurs de BitNinja Security, la surface d'attaque est considérable car de nombreuses instances sont exposées sur Internet sans restrictions d'accès adéquates.

Impact et exposition

Toute organisation utilisant aws-mcp-server pour connecter des agents IA aux services AWS est potentiellement exposée. L'exploitation ne nécessite aucune authentification préalable et peut être réalisée à distance via le réseau, ce qui rend la vulnérabilité exploitable par n'importe quel attaquant ayant accès au port du service.

L'impact est triple : exécution de code arbitraire sur le serveur hôte, accès potentiel aux credentials AWS configurés sur la machine, et possibilité de mouvement latéral dans l'infrastructure cloud. Les environnements de développement et de production utilisant MCP avec AWS sont directement concernés. À ce jour, aucune exploitation active dans la nature n'a été confirmée publiquement, mais la simplicité du vecteur d'attaque rend l'exploitation imminente.

Recommandations immédiates

  • Mettre à jour aws-mcp-server vers la dernière version corrigée disponible sur le dépôt officiel
  • Implémenter une validation stricte de toutes les entrées utilisateur transmises à des appels système
  • Restreindre l'accès réseau au service MCP aux seules adresses IP autorisées via un pare-feu ou WAF
  • Auditer les journaux du serveur pour détecter toute tentative d'injection de commande
  • Vérifier que les credentials AWS associés suivent le principe du moindre privilège

⚠️ Urgence

Avec un CVSS de 9.8 et aucune authentification requise, cette vulnérabilité représente un risque immédiat pour toutes les instances aws-mcp-server exposées. La combinaison injection de commande + accès aux credentials AWS peut mener à une compromission complète de l'infrastructure cloud.

Comment savoir si je suis vulnérable ?

Vérifiez si vous utilisez aws-mcp-server dans votre infrastructure en recherchant le processus ou le package dans vos déploiements. Exécutez npm list aws-mcp-server ou pip show aws-mcp-server selon votre gestionnaire de paquets. Si le service est accessible depuis le réseau sans filtrage IP, considérez-vous comme exposé et appliquez le correctif immédiatement.

Quel est le lien entre MCP et cette vulnérabilité ?

Le Model Context Protocol (MCP) permet aux agents IA d'exécuter des actions sur des systèmes externes. aws-mcp-server implémente ce protocole pour AWS CLI. La faille se situe dans la validation insuffisante des commandes transmises par l'agent au serveur, permettant l'échappement du périmètre de commandes autorisées. Toute architecture utilisant MCP avec AWS doit être auditée.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit