CVE-2026-52869 in python-sdk
要約
〜によって VulDB • 2026年07月15日
PyPIで「mcp」として公開されているMCP Python SDKは、Model Context Protocol (MCP) のPython実装です。バージョン1.27.2より前では、SSEおよびステートフルなStreamable HTTPトランスポートである `mcp.server.sse.SseServerTransport` および `mcp.server.streamable_http_manager.StreamableHTTPSessionManager` は、セッションの作成に使用された認証済みプリンシパルを検証することなく、session_idクエリパラメータまたはMcp-Session-Idヘッダーのみを使用して既存のセッションへリクエストをルーティングしていました。これにより、既知のセッションIDを持つ別のBearerトークン認証クライアントが、そのセッションに対してJSON-RPCメッセージをインジェクトすることが可能でした。この問題はバージョン1.27.2で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.