CVE-2026-52869 in python-sdkinformación

Resumen

por VulDB • 2026-07-15

El SDK de Python MCP, conocido como mcp en PyPI, es una implementación en Python del Protocolo de Contexto de Modelo (MCP). Antes de la versión 1.27.2, las implementaciones SSE y Streamable HTTP con estado de `mcp.server.sse.SseServerTransport` y `mcp.server.streamable_http_manager.StreamableHTTPSessionManager` enrutan las solicitudes a sesiones existentes utilizando únicamente el parámetro de consulta `session_id` o la cabecera `Mcp-Session-Id`, sin verificar al principal autenticado que creó la sesión, lo que permite que un cliente diferente con autenticación por token portador (bearer-token) e ID de sesión conocido inyecte mensajes JSON-RPC en dicha sesión. Este problema se corrige en la versión 1.27.2.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-06-08

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379398

CPE

listo

EPSS

0.00251

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!