发布日期：2025-11-18
更新日期：2026-01-27

受影响系统：

Bary Huang AWS Resources MCP Server 0.1.0

描述：

---

CVE(CAN) ID: CVE-2025-63604

AWS Resources MCP Server是Bary Huang个人开发者的一个基于Python的MCP服务器。
AWS Resources MCP Server 0.1.0版本存在代码注入漏洞，该漏洞源于execute_query方法输入验证不足，在执行环境中暴露了危险的Python内置函数，并直接使用exec()执行用户提供的代码，攻击者可利用该漏洞通过构造恶意查询来执行任意Python代码、窃取AWS凭据、访问文件系统、泄漏环境变量。

<**>

建议：

---

厂商补丁：

Bary Huang
----------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：

https://github.com/baryhuang/baryhuang

浏览次数：56
严重程度：0（网友投票）