CVE-2026-52869 in python-sdk
Сводка
по VulDB • 15.07.2026
Python SDK для MCP, доступный под именем mcp в PyPI, представляет собой реализацию на Python протокола Model Context Protocol (MCP). До версии 1.27.2 транспорты SSE и stateful Streamable HTTP — `mcp.server.sse.SseServerTransport` и `mcp.server.streamable_http_manager.StreamableHTTPSessionManager` — перенаправляли запросы к существующим сессиям, используя только параметр запроса session_id или заголовок Mcp-Session-Id, без проверки аутентифицированного субъекта (principal), создавшего сессию. Это позволяло другому клиенту, прошедшему аутентификацию по bearer-token и знающему идентификатор сессии, внедрять сообщения JSON-RPC в эту сессию. Проблема исправлена в версии 1.27.2.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.