CVE-2026-52869 in python-sdkinformation

Résumé

par VulDB • 16/07/2026

Le SDK Python MCP, nommé mcp sur PyPI, est une implémentation en Python du protocole Model Context Protocol (MCP). Avant la version 1.27.2, les transports SSE et Streamable HTTP avec état de `mcp.server.sse.SseServerTransport` et `mcp.server.streamable_http_manager.StreamableHTTPSessionManager` acheminent les requêtes vers des sessions existantes en utilisant uniquement le paramètre de requête `session_id` ou l'en-tête `Mcp-Session-Id`, sans vérifier le principal authentifié qui a créé la session. Cela permet à un client différent, authentifié par jeton porteur (bearer-token) et disposant d'un ID de session connu, d'injecter des messages JSON-RPC dans cette session. Ce problème est corrigé dans la version 1.27.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Réserver

08/06/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379398

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!