CVE-2026-55604 in MCP Server
Zusammenfassung
von VulDB • 10.07.2026
Der DeepSeek MCP Server ist ein MCP-Server für DeepSeek V4. Ab der Version 1.4.2 und vor der Version 1.7.0 akzeptiert das prozessglobale `SessionStore` vom Aufrufer bereitgestellte `session_id`-Werte, ohne diese an eine authentifizierte Entität oder Transportsitzung zu binden. Ein Angreifer kann aktive Session-IDs über `deepseek_sessions` auflisten und anschließend eine von einem Opfer kontrollierte `session_id` in `deepseek_chat` wiederverwenden, um den Konversationskontext des Opfers abzurufen und fortzusetzen. Die Version 1.7.0 enthält einen Patch.
If you want to get best quality of vulnerability data, you may have to visit VulDB.