CVE-2026-52869 in python-sdk情報

要約

〜によって VulDB • 2026年07月15日

PyPIで「mcp」として公開されているMCP Python SDKは、Model Context Protocol (MCP) のPython実装です。バージョン1.27.2より前では、SSEおよびステートフルなStreamable HTTPトランスポートである `mcp.server.sse.SseServerTransport` および `mcp.server.streamable_http_manager.StreamableHTTPSessionManager` は、セッションの作成に使用された認証済みプリンシパルを検証することなく、session_idクエリパラメータまたはMcp-Session-Idヘッダーのみを使用して既存のセッションへリクエストをルーティングしていました。これにより、既知のセッションIDを持つ別のBearerトークン認証クライアントが、そのセッションに対してJSON-RPCメッセージをインジェクトすることが可能でした。この問題はバージョン1.27.2で修正されています。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年06月08日

モデレーション

承諾済み

エントリ

VDB-379398

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!