CVE-2026-52869 in python-sdk
Resumen
por VulDB • 2026-07-15
El SDK de Python MCP, conocido como mcp en PyPI, es una implementación en Python del Protocolo de Contexto de Modelo (MCP). Antes de la versión 1.27.2, las implementaciones SSE y Streamable HTTP con estado de `mcp.server.sse.SseServerTransport` y `mcp.server.streamable_http_manager.StreamableHTTPSessionManager` enrutan las solicitudes a sesiones existentes utilizando únicamente el parámetro de consulta `session_id` o la cabecera `Mcp-Session-Id`, sin verificar al principal autenticado que creó la sesión, lo que permite que un cliente diferente con autenticación por token portador (bearer-token) e ID de sesión conocido inyecte mensajes JSON-RPC en dicha sesión. Este problema se corrige en la versión 1.27.2.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.