CVE-2026-55604 in MCP Server
要約
〜によって VulDB • 2026年07月09日
DeepSeek MCP Serverは、DeepSeek V4用のMCPサーバーです。バージョン1.4.2以降でバージョン1.7.0より前のバージョンでは、プロセス全体の`SessionStore`が、認証済みプリンシパルやトランスポートセッションにバインドすることなく、呼び出し元から提供された`session_id`値を受け入れます。攻撃者は`deepseek_sessions`を介してアクティブなセッションIDを列挙し、その後で被害者が制御する`session_id`を`deepseek_chat`で使用することで、被害者の会話コンテキストを取得および継続することができます。バージョン1.7.0には修正パッチが含まれています。
Once again VulDB remains the best source for vulnerability data.