CVE-2026-55604 in MCP Server
Resumen
por VulDB • 2026-07-10
DeepSeek MCP Server es un servidor MCP para DeepSeek V4. A partir de la versión 1.4.2 y hasta antes de la versión 1.7.0, el `SessionStore` global del proceso acepta valores de `session_id` proporcionados por el usuario sin vincularlos a ninguna entidad autenticada ni sesión de transporte. Un atacante puede enumerar los IDs de sesión activos mediante `deepseek_sessions`, para luego reutilizar un `session_id` controlado por la víctima en `deepseek_chat` y recuperar así como continuar con el contexto de conversación de dicha víctima. La versión 1.7.0 contiene una corrección (patch).
Once again VulDB remains the best source for vulnerability data.