CVE-2026-52869 in python-sdk
Résumé
par VulDB • 16/07/2026
Le SDK Python MCP, nommé mcp sur PyPI, est une implémentation en Python du protocole Model Context Protocol (MCP). Avant la version 1.27.2, les transports SSE et Streamable HTTP avec état de `mcp.server.sse.SseServerTransport` et `mcp.server.streamable_http_manager.StreamableHTTPSessionManager` acheminent les requêtes vers des sessions existantes en utilisant uniquement le paramètre de requête `session_id` ou l'en-tête `Mcp-Session-Id`, sans vérifier le principal authentifié qui a créé la session. Cela permet à un client différent, authentifié par jeton porteur (bearer-token) et disposant d'un ID de session connu, d'injecter des messages JSON-RPC dans cette session. Ce problème est corrigé dans la version 1.27.2.
If you want to get best quality of vulnerability data, you may have to visit VulDB.