CVE-2026-52869 in python-sdk
요약
\~에 의해 VulDB • 2026. 07. 15.
PyPI에서 mcp로 알려진 MCP Python SDK는 Model Context Protocol(MCP)의 Python 구현체입니다. 버전 1.27.2 이전에서는 SSE 및 상태 유지 Streamable HTTP 전송 계층인 `mcp.server.sse.SseServerTransport`와 `mcp.server.streamable_http_manager.StreamableHTTPSessionManager`가 세션을 생성한 인증된 주체를 검증하지 않고, 오직 session_id 쿼리 파라미터 또는 Mcp-Session-Id 헤더만을 사용하여 기존 세션으로 요청을 라우팅했습니다. 이로 인해 알려진 세션 ID를 가진 다른 bearer-token-authenticated 클라이언트가 해당 세션에 JSON-RPC 메시지를 삽입할 수 있었습니다. 이 문제는 버전 1.27.2에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.