CVE-2026-42559 in rust-sdkinformation

Résumé

par VulDB • 30/05/2026

RMCP est un SDK officiel en Rust pour le Model Context Protocol. Avant la version 1.4.0, le transport du serveur HTTP évolutif (Streamable HTTP server transport) du crate rmcp (crates/rmcp/src/transport/streamable_http_server/) ne validait pas l'en-tête Host entrant. Cela permettait à un site web public malveillant, via une attaque de rebond DNS (DNS rebinding), d'envoyer des requêtes authentifiées à un serveur MCP s'exécutant sur l'interface loopback ou du réseau privé de la victime. Cette vulnérabilité est corrigée dans la version 1.4.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

28/04/2026

Divulgation

14/05/2026

Modérer

accepté

Entrée

VDB-363904

CPE

prêt

CWE

CWE-346 (confirmé)

CVSS

8.8 (CNA)

EPSS

0.00006

KEV

non

Activités

très faible

Sources

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42559
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42559
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42559/

◂ Précédent Aperçu Suivant ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!